Trước sự gia tăng của các cuộc tấn công mạng nhắm vào hạ tầng Internet toàn cầu, sự xuất hiện và mở rộng của botnet RondoDox đang gióng lên hồi chuông cảnh báo đối với các tổ chức, doanh nghiệp và đội ngũ quản trị hệ thống. Việc mạng botnet này khai thác thành công lỗ hổng bảo mật ở mức nghiêm trọng nhất trong nền tảng Next.js cho thấy chỉ một sơ suất trong công tác quản lý lỗ hổng và cập nhật bản vá cũng có thể khiến hệ thống bị chiếm quyền, phát tán mã độc hoặc bị lợi dụng cho các hoạt động tấn công mạng quy mô lớn.
Đáng chú ý, các hệ thống sử dụng nền tảng web phổ biến và các thiết bị Internet of Things (IoT) – vốn thường bị xem nhẹ trong khâu bảo mật – lại chính là mắt xích dễ bị khai thác nhất trong các chiến dịch botnet hiện nay.
Hệ thống bị chiếm quyền trở thành công cụ đào tiền ảo, làm bàn đạp cho các cuộc tấn công mạng
Sự tiến hóa đáng lo ngại của RondoDox
RondoDox không phải là một cái tên mới. Xuất hiện từ đầu năm 2025, mạng botnet này liên tục mở rộng quy mô và “kho vũ khí” bằng cách tích hợp nhiều lỗ hổng bảo mật dạng N-day.
Việc khai thác React2Shell chỉ là bước tiến mới nhất trong một chiến dịch được các chuyên gia từ CloudSEK chia thành ba giai đoạn chính:
|
Giai đoạn |
Thời gian |
Hoạt động chính |
|
Trinh sát |
Tháng 3 – 4/2025 |
Giai đoạn đầu, tin tặc thực hiện quét và kiểm tra lỗ hổng thủ công. |
|
Thăm dò hàng loạt |
Tháng 4 – 6/2025 |
Tự động hóa việc thăm dò lỗ hổng trên các ứng dụng web phổ biến như WordPress, Drupal và các thiết bị IoT. |
|
Triển khai quy mô lớn |
Tháng 7 – 12/2025 |
Tấn công tự động hóa diễn ra hàng giờ, triển khai mã độc trên diện rộng. |
Giai đoạn đầu, từ tháng 3 đến tháng 4/2025, các đối tượng tấn công tiến hành trinh sát và quét lỗ hổng thủ công. Sang giai đoạn thứ hai, từ tháng 4 đến tháng 6, hoạt động tấn công được tự động hóa và diễn ra hàng ngày, nhắm vào các ứng dụng web phổ biến như WordPress, Drupal, Apache Struts2 cùng nhiều thiết bị IoT, đặc biệt là các dòng router dân dụng. Từ tháng 7 đến đầu tháng 12/2025, chiến dịch bước sang giai đoạn triển khai quy mô lớn, với tần suất tấn công tăng lên theo từng giờ và phạm vi lây nhiễm được mở rộng đáng kể.
Trong giai đoạn này, các máy chủ chạy Next.js trở thành mục tiêu chính do tồn tại lỗ hổng React2Shell (CVE-2025-55182). Đây là lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE), được đánh giá ở mức nghiêm trọng nhất với điểm CVSS 10.0, cho phép kẻ tấn công thực thi lệnh trên máy chủ mà không cần xác thực.
Hơn 90.000 hệ thống chưa được vá lỗi
Theo thống kê, tính đến ngày 31/12/2025, vẫn còn khoảng 90.300 hệ thống trên toàn cầu chưa được khắc phục lỗ hổng React2Shell. Trong số này, Mỹ là quốc gia có số lượng máy chủ bị ảnh hưởng lớn nhất, tiếp theo là Đức, Pháp và Ấn Độ.
Lỗ hổng React2Shell bắt nguồn từ cách React Server Components xử lý dữ liệu đầu vào không an toàn, cho phép chèn và thực thi mã độc trên máy chủ. Ngay sau khi được công bố, lỗ hổng này nhanh chóng bị nhiều nhóm tấn công khai thác trong thực tế, trong đó có chiến dịch của RondoDox.
Sau khi xâm nhập thành công, botnet RondoDox triển khai một bộ công cụ độc hại đa thành phần nhằm tối đa hóa hiệu quả khai thác. Các thành phần này bao gồm mã đào tiền điện tử trái phép, trình tải botnet và một biến thể của botnet Mirai, vốn nổi tiếng với khả năng thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn.
Đáng chú ý, module có tên “/nuts/bolts” được xem là thành phần nguy hiểm nhất. Công cụ này được lập trình để liên tục quét hệ thống, tự động dừng các tiến trình không nằm trong danh sách cho phép, loại bỏ phần mềm độc hại cạnh tranh và xóa dấu vết của các chiến dịch tấn công trước đó. Đồng thời, nó thiết lập cơ chế duy trì tồn tại bằng cách chỉnh sửa tập tin crontab, đảm bảo botnet có thể hoạt động lâu dài trên hệ thống bị xâm nhập.
Theo các chuyên gia, cơ chế này cho phép RondoDox độc quyền kiểm soát và khai thác tài nguyên của máy chủ nạn nhân, đồng thời ngăn chặn hiệu quả việc tái lây nhiễm từ các nhóm tấn công khác.
Ba giai đoạn tấn công có chủ đích
Theo báo cáo của CloudSEK, đến tháng 12/2025, nhóm tấn công đã bắt đầu khai thác lỗ hổng có tên React2Shell (CVE-2025-55182) như một phương thức xâm nhập chính. Đây là lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE), được đánh giá ở mức nghiêm trọng nhất với điểm CVSS 10.0, cho phép kẻ tấn công thực thi lệnh trên máy chủ mà không cần xác thực.
Phát tán mã đào tiền ảo và biến thể Mirai
Sau khi xâm nhập thành công, botnet RondoDox tiến hành tải xuống nhiều thành phần độc hại, bao gồm mã đào tiền điện tử trái phép, công cụ tải botnet và một biến thể của botnet Mirai – vốn nổi tiếng với các cuộc tấn công từ chối dịch vụ (DDoS) quy mô lớn.
Những hệ thống bị chiếm quyền không chỉ trở thành công cụ đào tiền ảo trái phép mà còn có thể bị sử dụng làm bàn đạp cho các cuộc tấn công mạng nghiêm trọng hơn, ảnh hưởng đến chuỗi cung ứng và hạ tầng Internet.
Đáng chú ý, một module có tên “/nuts/bolts” được thiết kế để loại bỏ các phần mềm độc hại cạnh tranh đã tồn tại trên hệ thống. Công cụ này liên tục quét các tiến trình đang chạy, tự động dừng những tiến trình không nằm trong danh sách cho phép và thiết lập cơ chế duy trì tồn tại bằng cách chỉnh sửa tập tin crontab của hệ thống.
Khi đã xác định được một máy chủ Next.js tồn tại lỗ hổng bảo mật, RondoDox sẽ tự động triển khai một bộ công cụ độc hại đa thành phần, mỗi phần thực hiện một chức năng riêng biệt nhằm tối đa hóa hiệu quả cuộc tấn công:
/nuts/poop: Thành phần này là một trình khai thác tiền điện tử (cryptocurrency miner), được thiết kế để bí mật sử dụng tài nguyên CPU và GPU của máy chủ nạn nhân nhằm đào tiền ảo, mang lại lợi ích tài chính trực tiếp cho kẻ tấn công.
/nuts/bolts: Đóng vai trò trung tâm, đây là một trình tải botnet (botnet loader) và cũng là một cơ chế phòng thủ tinh vi. Nó có nhiệm vụ loại bỏ các phần mềm độc hại cạnh tranh, xóa bỏ các dấu vết của những chiến dịch tấn công trước đó và thiết lập cơ chế duy trì sự hiện diện bền vững trên hệ thống.
/nuts/x86: Đây là một biến thể của mã độc Mirai nổi tiếng, có khả năng biến thiết bị bị lây nhiễm thành một "zombie" trong một mạng lưới tấn công từ chối dịch vụ phân tán (DDoS) khổng lồ.
Payload đào tiền ảo và biến thể Mirai
Sau khi xâm nhập thành công, RondoDox tiến hành tải xuống các thành phần như:
Cryptominer có tên “/nuts/poop”,
Botnet loader và công cụ kiểm tra hệ thống “/nuts/bolts”,
Biến thể botnet Mirai “/nuts/x86”.
Trong đó, /nuts/bolts đóng vai trò then chốt: công cụ này tự động loại bỏ malware cạnh tranh, dừng các tiến trình đào tiền ảo khác, xóa dấu vết từ những chiến dịch trước và thiết lập cơ chế duy trì tồn tại (persistence) thông qua chỉnh sửa /etc/crontab. Theo CloudSEK, module này còn liên tục quét thư mục /proc để phát hiện và tiêu diệt các tiến trình không nằm trong danh sách cho phép, qua đó ngăn chặn việc “tái nhiễm” từ các nhóm đối thủ.
Điểm đặc biệt nguy hiểm nằm ở thành phần "/nuts/bolts". Nó được lập trình để liên tục quét và chấm dứt mọi tiến trình đang chạy không có trong danh sách cho phép (whitelist) sau mỗi 45 giây. Cơ chế này đảm bảo RondoDox độc quyền kiểm soát và khai thác tài nguyên của hệ thống bị xâm nhập, đồng thời ngăn chặn hiệu quả sự tái lây nhiễm từ các tác nhân đe dọa đối thủ.
Trong bối cảnh các lỗ hổng nghiêm trọng ngày càng bị khai thác nhanh chóng, việc chậm trễ cập nhật bản vá có thể khiến hệ thống trở thành mục tiêu dễ dàng của các chiến dịch botnet quy mô lớn như RondoDox. Để giảm thiểu rủi ro, các tổ chức và quản trị viên hệ thống được khuyến cáo khẩn trương cập nhật Next.js và các thành phần React liên quan lên phiên bản đã vá lỗi, đồng thời triển khai tường lửa ứng dụng web (WAF), giám sát hành vi bất thường trên máy chủ và tách riêng các thiết bị IoT vào mạng nội bộ độc lập.