Çok sayıda güvenlik araştırmacısı, RondoDox Nesnelerin İnterneti (IoT) botnet kampanyasında büyük bir artışın detaylarını açıkladı; bu kampanya, başlangıçta yalnızca iki kusuru hedefledikten sonra artık 30’dan fazla satıcıdaki 56 güvenlik açığını silah haline getiriyor.
Güvenlik tedarikçisi Trend Micro’nun Sıfır Gün Girişimi ve araştırma ekipleri, aktif istismarın 2025’in ortasından bu yana küresel olarak gözlemlendiğini ve çeşitli güvenlik açıklarının artık Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Bilinen İstismar Edilen Güvenlik Açıkları (CISA KEV) kataloğuna dahil edildiğini bildirdi.
FortiGuard Labs tarafından bu yılın başlarında yayınlanan ilk RondoDox analizi, botnet’in TBK DVR cihazlarında CVE-2024-3721 ve Four-Faith yönlendiricilerde CVE-2024-12856 olmak üzere iki güvenlik açığından yararlandığını tespit etti.
RondoDox operatörleri artık Trend Micro’nun “yararlı av tüfeği” olarak tanımladığı yaklaşımı benimseyerek, hangilerinin hedefleri başarılı bir şekilde tehlikeye attığını görmek için birden fazla açıktan yararlanıyor.
Genişletilmiş cephanelikleri arasında 50 komut ekleme hatası, iki yol geçiş hatası ve arabellek taşması, kimlik doğrulama atlama ve bellek bozulması güvenlik açıkları bulunuyor.
Eski güvenlik açıkları, 2014’teki on yıllık Shellshock hatası (CVE-2014-6271) ve kullanım ömrü sona eren cihazlardaki çok sayıda kusur dahil olmak üzere belirgin bir şekilde ön plana çıkıyor.
Hedeflenen kusurların 18’i (18) atanmış CVE tanımlayıcılarına sahip değilken, 38’i resmi olarak kataloglanmıştır.
Trend Micro’nun ilk RondoDox izinsiz giriş girişimi, 15 Haziran 2025’te, TP-Link Archer AX21 yönlendiricinin geniş alan ağı (WAN) arayüzünde CVE-2023-1389’dan yararlanılarak tespit edildi.
Bu güvenlik açığı ilk olarak Aralık 2022’de Pwn2Own Toronto’da, TP-Link AX1800 cihazındaki kimlik doğrulama atlama ve komut ekleme kusurlarından yararlanan Qious Secure’dan araştırmacılar Tri Dang ve Bien Pham tarafından gösterildi.
15 Ocak 2023’te TP-Link’e bildirildi ancak iki yıldan fazla bir süre sonra RondoDox kampanyasında yeniden ortaya çıktı.
FortiGuard Labs’ın daha önceki analizi, RondoDox’un konfigürasyon verilerini gizlemek için XOR kodlamasını kullandığını öne sürüyordu.
Ayrıca tespit edilmekten kaçınmak için oyun platformlarından ve VPN hizmetlerinden gelen meşru trafiği taklit eder.
Kötü amaçlı yazılım kendisini Valve, Minecraft, Roblox, Fortnite oyun platformlarından, iletişim aracı Discord’un yanı sıra OpenVPN ve WireGuard ve diğer popüler hizmetlerden gelen trafik olarak gizler.
RondoDox, tek tek bileşenler tespit edilip kaldırılsa bile, güvenliği ihlal edilmiş sistemlerde varlığını sürdürmek için birden fazla kalıcılık mekanizması kurar.
Kötü amaçlı yazılım, /etc/rcS, /etc/init.d/rcS ve /etc/inittab dahil sistem başlangıç dosyalarını değiştirirken aynı zamanda hem kullanıcı hem de kök hesaplar için crontab girişleri oluşturuyor.
Rakip kötü amaçlı yazılımları ve analiz araçlarını aktif olarak sonlandırır, kripto para madencileriyle ilgili süreçleri, Wireshark gibi ağ yardımcı programlarını ve gdb gibi hata ayıklama araçlarını tarar.
Kötü amaçlı yazılım ayrıca kritik sistem yürütülebilir dosyalarını rastgele karakter dizeleriyle yeniden adlandırarak güvenlik duvarı yapılandırmasını, kullanıcı hesabı yönetimini ve kapatma işlemlerini bozuyor.
RondoDox ayrıca onu Mirai ve Morte yükleriyle birlikte paketleyen bir hizmet olarak yükleyici (LaaS) altyapısı aracılığıyla da dağıtılıyor.
CloudSEK araştırmacıları, operasyonu altı aya yayılan komuta ve kontrol günlükleri aracılığıyla keşfettiler ve Temmuz ile Ağustos 2025 arasında kampanya için yüzde 230’luk bir saldırı artışı bildirdiler.
LaaS modeli, kimlik doğrulama girişimleri için ReplyPageLogin, enjeksiyon aşaması için ConfigSystemCommand ve başarılı yük teslimi için ReplySuccessPage gibi işaretleyicilerle belirli modüller aracılığıyla istekleri işleyen gelişmiş bir botnet paneli kullanır.
Saldırı vektörleri, ağ zaman protokolü (NTP), sistem günlüğü, ana bilgisayar adı ve yönlendiricilerin ve gömülü cihazların web arayüzlerindeki ping yapılandırmaları gibi alanlarda temizlenmemiş POST parametreleri aracılığıyla komut enjeksiyonuna odaklanır.
CloudSek, LaaS kampanyasının tüketici cihazlarının ötesine geçerek, WordPress ve vBulletin sistemlerindeki bilinen kusurların yanı sıra uzaktan kod yürütme güvenlik açıkları yoluyla Oracle WebLogic sunucuları da dahil olmak üzere kurumsal uygulamaları hedef aldığını söyledi.
Intel 80386, MC68000, MIPS R3000, PowerPC, SuperH, ARCompact, x86-64 ve AArch64 dahil birden fazla Linux mimarisi artık kötü amaçlı yazılım tarafından destekleniyor.
Güvenlik açığı listesi, D-Link, Netgear, TP-Link, Cisco, TOTOLINK ve Zyxel’in ağ ekipmanlarının yanı sıra TBK, TVT, LILIN ve AVTECH’in DVR ve NVR sistemlerini kapsıyor.