Kötü amaçlı yazılım kampanyaları dağıtıyor RondoDox botnet, hedefleme odağını 30’dan fazla satıcıdaki 50’den fazla güvenlik açığından yararlanacak şekilde genişletti.
Trend Micro’ya göre, “sömürme av tüfeği” yaklaşımına benzer olarak tanımlanan etkinlik, yönlendiriciler, dijital video kaydediciler (DVR’ler), ağ video kaydediciler (NVR’ler), CCTV sistemleri, web sunucuları ve diğer çeşitli ağ cihazları dahil olmak üzere geniş bir yelpazede internete açık altyapıyı belirledi.
Siber güvenlik şirketi, 15 Haziran 2025’te, saldırganların TP-Link Archer yönlendiricilerindeki bir güvenlik açığı olan ve ilk kez 2022’nin sonlarında ortaya çıkmasından bu yana sürekli olarak aktif istismara maruz kalan bir güvenlik açığı olan CVE-2023-1389’u kullandığı 15 Haziran 2025’te bir RondoDox saldırı girişimi tespit ettiğini söyledi.
RondoDox, ilk olarak Temmuz 2025’te Fortinet FortiGuard Labs tarafından belgelendi ve TBK dijital video kayıt cihazlarını (DVR’ler) ve Four-Faith yönlendiricilerini HTTP, UDP ve TCP protokollerini kullanarak belirli hedeflere karşı dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere bir botnet’e dahil etmeyi hedefleyen saldırıların ayrıntılarını açıkladı.
Trend Micro, “Son zamanlarda RondoDox, RondoDox’u Mirai/Morte yükleriyle birlikte paketleyen bir ‘hizmet olarak yükleyici’ altyapısı kullanarak dağıtımını genişletti; bu da tespit ve iyileştirmeyi daha acil hale getiriyor” dedi.
RondoDox’un genişletilmiş açıklardan yararlanma cephaneliği yaklaşık beş düzine güvenlik açığı içeriyor ve bunların 18’ine atanmış bir CVE tanımlayıcısı yok. 56 güvenlik açığı D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH gibi çeşitli satıcıları kapsıyor. Zyxel, Hytec Inter, Belkin, Milyar ve Cisco.
Şirket, “En son RondoDox botnet kampanyası, otomatik ağ kullanımında önemli bir evrimi temsil ediyor” diye ekledi. “Bu, kampanyanın tek cihazlı fırsatçılığın ötesinde, çok vektörlü bir yükleyici operasyonuna doğru evrildiğinin açık bir işareti.”
Geçtiğimiz ayın sonlarında CloudSEK, zayıf kimlik bilgilerini, temizlenmemiş girişleri ve eski CVE’leri silahlandırarak SOHO yönlendiricileri, Nesnelerin İnterneti (IoT) cihazları ve kurumsal uygulamalar aracılığıyla RondoDox, Mirai ve Morte yüklerini dağıtan büyük ölçekli bir Hizmet Olarak Yükleyici botnetinin ayrıntılarını ortaya çıkardı.
Bu gelişme, güvenlik muhabiri Brian Krebs’in, AISURU olarak bilinen DDoS botnet’inin “ateş gücünün büyük bir kısmını AT&T, Comcast ve Verizon gibi ABD internet sağlayıcılarında barındırılan, güvenliği ihlal edilmiş IoT cihazlarından aldığını” belirtmesinin ardından geldi. Botnet operatörlerinden biri olan Forky’nin Brezilya’nın Sao Paulo şehrinde yerleşik olduğu ve ayrıca Botshield adlı bir DDoS azaltma hizmetiyle bağlantılı olduğu iddia ediliyor.
Son aylarda AISURU, şimdiye kadar görülen rekor kıran DDoS saldırılarının bazılarından sorumlu olan en büyük ve en yıkıcı botnet’lerden biri olarak ortaya çıktı. Mirai’nin temelleri üzerine inşa edilen botnet, dünya çapında güvenliği ihlal edilmiş yaklaşık 300.000 ana bilgisayarı kontrol ediyor.
Bulgular ayrıca GreyNoise’a göre ABD’deki Uzak Masaüstü Protokolü (RDP) hizmetlerini hedefleyen, en az 100 ülkeden 100.000’den fazla benzersiz IP adresini içeren koordineli bir botnet operasyonunun keşfinin ardından geldi.
Faaliyetin 8 Ekim 2025’te başladığı ve trafiğin çoğunluğunun Brezilya, Arjantin, İran, Çin, Meksika, Rusya, Güney Afrika, Ekvador ve diğerlerinden kaynaklandığı söyleniyor.
Tehdit istihbarat firması, “Kampanya iki spesifik saldırı vektörü kullanıyor: RD Web Erişimi zamanlama saldırıları ve RDP web istemcisi oturum açma numaralandırması; katılan IP’lerin çoğu benzer bir TCP parmak izini paylaşıyor, bu da merkezi kontrolü gösteriyor.” dedi.