Scoperta la botnet RondoDox: migliaia di dispositivi a rischio

È stata scoperta una grande botnet chiamata RondoDox che sfrutta 56 vulnerabilità in più di 30 dispositivi diversi, tra cui bug dimostrati per la prima volta durante la competizione di hacking Pwn2Own.

Gli aggressori prendono di mira un’ampia gamma di dispositivi accessibili tramite Internet, tra cui videoregistratori digitali (DVR), videoregistratori di rete (NVR), sistemi di videosorveglianza e server web.

RondoDox utilizza una strategia che i ricercatori di Trend Micro chiamano “exploit shotgun”: il malware utilizza più exploit contemporaneamente per massimizzare il numero di infezioni, nonostante la natura di alto profilo di tale attività.

I ricercatori segnalano che, tra le altre vulnerabilità, RondoDox attacca CVE-2023-1389, un bug nel router Wi-Fi TP-Link Archer AX21, inizialmente dimostrato al Pwn2Own Toronto 2022. Si sottolinea che gli sviluppatori della botnet monitorano attentamente gli exploit dimostrati al Pwn2Own e poi iniziano a utilizzarli nella pratica.

Tra le vulnerabilità n-day che RondoDox ha già aggiunto al suo arsenale ci sono:

• Digiever – CVE-2023-52163;
• Qnap – CVE-2023-47565;
• LB-LINK – CVE-2023-26801;
• TRENDnet – CVE-2023-51833;
• D-Link – CVE-2024-10914;
• TBK – CVE-2024-3721;
• Netgear – CVE-2024-12847;
• AVTECH – CVE-2024-7029;
• TOTOLINK – CVE-2024-1781;
• Tenda – CVE-2025-7414;
• TOTOLINK – CVE-2025-1829;
• Meteobridge – CVE-2025-4008;
• Edimax – CVE-2025-22905;
• Linksys – CVE-2025-34037;
• TOTOLINK – CVE-2025-5504;
• TP-Link – CVE-2023-1389.

Gli esperti scrivono che le vecchie vulnerabilità, soprattutto nei dispositivi che hanno superato il periodo di supporto, rappresentano un problema serio, poiché è meno probabile che ricevano patch. I problemi più recenti nell’hardware supportato non sono meno pericolosi, poiché molti utenti semplicemente ignorano gli aggiornamenti del firmware dopo la configurazione iniziale del dispositivo.

Gli analisti di Trend Micro segnalano che RondoDox utilizza exploit per 18 vulnerabilità di command injection a cui non è ancora stato assegnato un identificatore CVE. Queste vulnerabilità interessano i dispositivi NAS D-Link, i DVR TVT e LILIN, i router Fiberhome, ASMAX e Linksys, le telecamere Brickcom e altri dispositivi non specificati.

Come precedentemente riportato da FortiGuard Labs, RondoDox è in grado di lanciare attacchi DDoS utilizzando HTTP, UDP e TCP. Per evitare di essere rilevata, la botnet maschera il suo traffico dannoso sotto forma di giochi e piattaforme popolari, tra cui Minecraft, Dark and Darker, Roblox, DayZ, Fortnite e GTA di Valve, oltre a strumenti come Discord, OpenVPN, WireGuard e RakNet.

Per proteggersi dagli attacchi RondoDox, i ricercatori raccomandano di installare gli ultimi aggiornamenti firmware disponibili e di sostituire tempestivamente l’hardware scaduto. Inoltre, si raccomanda di segmentare la rete, isolando i dati critici dai dispositivi IoT accessibili tramite Internet e dalle connessioni guest, nonché di modificare le credenziali predefinite e utilizzare password complesse.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore