RondoDox Botnet : Menace sur les Serveurs Next.js et IoT via la Vulnérabilité React2Shell

Un botnet nommé RondoDox a exploité une vulnérabilité critique, CVE-2025-55182, ainsi que CVE-2025-14847 pour compromettre des milliers de serveurs web et d’appareils IoT depuis près de neuf mois. Selon les dernières analyses de sécurité, des dizaines de milliers d’instances restent vulnérables en début d’année 2026.

Comprendre l’attaque RondoDox et la vulnérabilité React2Shell

Le botnet RondoDox, apparu au début de l’année 2025, a considérablement élargi son champ d’action en intégrant de nouvelles vulnérabilités “N-day” dans son arsenal. L’attaque la plus récente et la plus dangereuse repose sur la faille React2Shell (CVE-2025-55182), affectant les serveurs de composants React (RSC) et le framework Next.js.

Cette vulnérabilité de type Remote Code Execution (RCE) permet à un attaquant non authentifié d’exécuter du code à distance sur les appareils vulnérables. Avec un score CVSS de 10.0, elle est considérée comme critique. En décembre 2025, les acteurs de la menace ont commencé à scanner activement les serveurs Next.js pour déployer leurs payloads malveillants.

Points clés de l’exploitation :

• Vecteur d’entrée : Exploitation directe de la faille CVE-2025-55182.
• Cibles principales : Serveurs web Next.js et appareils IoT (ex: routeurs Wavlink, affectés par des vulnérabilités comme CVE-2025-68615).
• Objectif : Intégration au botnet RondoDox pour des attaques DDoS ou du minage de cryptomonnaie.

L’évolution d’une campagne de neuf mois

Les chercheurs en cybersécurité ont identifié une progression méthodique de l’attaque sur une période de neuf mois. Cette lenteur et cette méthodologie témoignent d’une organisation sophistiquée visant à maximiser l’infection avant la détection.

1. Mars - Avril 2025 : Phase de reconnaissance initiale et scans manuels pour identifier des cibles potentielles.
2. Avril - Juin 2025 : Début des probes massifs quotidiens visant des applications web populaires comme WordPress, Drupal et Struts2, ainsi que des routeurs IoT.
3. Début juillet - Décembre 2025 : Automatisation complète avec des déploiements à grande échelle effectués chaque heure.

Cette accélération a coïncidé avec la publication des détails techniques de la faille React2Shell, permettant aux attaquants de lancer des scans globaux.

Analyse technique du malware RondoDox

Une fois la vulnérabilité exploitée, le botnet déploie une série de fichiers malveillants dans le répertoire /nuts/. Cette structure est caractéristique de cette campagne.

• /nuts/poop : Un mineur de cryptomonnaie.
• /nuts/bolts : Un chargeur (loader) et un vérificateur de santé du botnet.
• /nuts/x86 : Une variante du botnet Mirai.

Le fichier bolts joue un rôle crucial de nettoyage. Il est programmé pour terminer les processus de malwares concurrents et les mineurs de cryptomonnaies avant de télécharger le binaire principal du bot. Il supprime également les artefacts laissés par d’autres campagnes et les cron jobs associés.

“Il scanne continuellement /proc pour énumérer les exécutables en cours d’exécution et tue les processus non autorisés toutes les ~45 secondes, empêchant efficacement la réinfection par des acteurs concurrents.”

Ce mécanisme agressif garantit que RondoDox conserve le contrôle exclusif de l’appareil infecté.

État des lieux des vulnérabilités en France

Les statistiques du Shadowserver Foundation, datées du 31 décembre 2025, révèlent une surface d’attaque encore très étendue.

Nombre d’instances vulnérables à CVE-2025-55182 :

• Total mondial : 90 300
• États-Unis : 68 400
• Allemagne : 4 300
• France : 2 800
• Inde : 1 500

Ces chiffres montrent que la France, bien que moins touchée que les États-Unis, compte tout de même près de 3 000 serveurs exposés à une prise de contrôle totale.

Tableau comparatif des menaces concurrentes

RondoDox n’est pas le seul botnet à exploiter les N-days, mais sa méthodologie de nettoyage est distinctive.

Stratégies de mitigation et de protection

Pour contrer cette menace croissante, une approche défensive en profondeur est indispensable. Les administrateurs système doivent agir immédiatement pour sécuriser les infrastructures exposées.

1. Mise à jour des frameworks

La priorité absolue est de mettre à jour Next.js vers une version corrigée. La vulnérabilité CVE-2025-55182 est corrigée dans les versions récentes ; l’application de ce correctif stoppe net le vecteur d’attaque principal.

2. Segmentation réseau (VLAN)

Isoler les appareils IoT dans des réseaux virtuels (VLAN) dédiés empêche la propagation latérale. Si un routeur est compromis, il ne pourra pas accéder aux serveurs critiques ou aux données sensibles du réseau principal.

3. Déploiement de WAF

L’utilisation d’un Web Application Firewall (WAF) permet de filtrer le trafic HTTP entrant et de bloquer les requêtes malformées typiques des tentatives d’exploitation de RCE.

4. Surveillance active des processus

Il est crucial de monitorer l’exécution des processus, en particulier dans le répertoire /nuts/ ou tout autre répertoire temporaire inhabituel. Les bases de données comme MongoDB sont également des cibles privilégiées, comme le montre CVE-2025-14847. La détection de processus tués fréquemment (toutes les 45 secondes) peut être un indicateur de compromission (IoC).

5. Blocage des infrastructures C2

Les équipes de sécurité doivent identifier et bloquer les adresses IP des serveurs de commande et de contrôle (C2) connus associés à RondoDox.

Conclusion : La vigilance reste de mise

La campagne RondoDox démontre une fois de plus la rapidité avec laquelle les acteurs malveillants exploitent les vulnérabilités critiques une fois divulguées. Avec près de 90 000 serveurs mondialement vulnérables à la faille React2Shell en fin d’année 2025, la surface d’attaque reste vaste en 2026.

Pour les entreprises françaises, la mise à jour immédiate des serveurs Next.js et le cloisonnement strict des équipements IoT sont les actions les plus efficaces pour ne pas rejoindre involontairement l’armée de bots RondoDox.