RondoDox: Botnet tích hợp 174 lỗ hổng, tận dụng IP dân dụng làm hạ tầng tấn công

[WhiteHat Team]

Âm thầm, quy mô và cực kỳ khó truy vết, RondoDox đang trỗi dậy như một trong những mối đe dọa kỹ thuật số phức tạp nhất năm 2026. Với mạng lưới 174 lỗ hổng cùng chiến lược ẩn mình trong dải IP dân cư toàn cầu, botnet này đã chuyển mình từ một chiến dịch thử nghiệm thành một cỗ máy tấn công trọng điểm với sức công phá đáng gờm.
​

Được phát hiện từ tháng 5/2025, RondoDox ban đầu gây chú ý khi tạo ra lưu lượng bất thường trong các hệ thống honeypot. Theo thời gian, chiến dịch này phát triển thành một hệ thống tấn công hoàn chỉnh với khả năng thực hiện tới 15.000 lượt khai thác mỗi ngày. Nhịp độ hoạt động ổn định cho thấy đây không phải một chiến dịch ngắn hạn mà là một hạ tầng được đầu tư và vận hành có tính toán.

RondoDox kế thừa nền tảng từ Mirai botnet nhưng đã được tái cấu trúc và nâng cấp mạnh mẽ, vượt xa thiết kế ban đầu. Thay vì vừa quét vừa tấn công như Mirai, biến thể này tập trung hoàn toàn vào các cuộc tấn công từ chối dịch vụ. Điểm đáng chú ý nằm ở bộ công cụ khai thác với tổng cộng 174 lỗ hổng, một con số hiếm gặp đối với các botnet cùng loại. Hệ thống cũng hỗ trợ tới 18 kiến trúc phần cứng khác nhau như x86_64, ARM, MIPS hay PowerPC, cho phép nhắm tới dải thiết bị IoT rất rộng.
​

Số lượng các cuộc khai thác RondoDox theo thời gian
​

Phân tích cho thấy trong số 174 lỗ hổng được sử dụng, có 148 lỗ hổng đã được gán mã CVE, 15 lỗ hổng có mã khai thác công khai nhưng chưa được định danh chính thức và 11 trường hợp chưa từng xuất hiện PoC công khai. Đáng chú ý, nhóm vận hành theo dõi sát các công bố bảo mật và triển khai khai thác gần như ngay lập tức. Có trường hợp lỗ hổng CVE-2025-62593 đã bị khai thác trước khi mã CVE được công bố chính thức.
​

Không chỉ dừng lại ở quy mô, cách thức vận hành của RondoDox cũng cho thấy sự thay đổi rõ rệt theo thời gian. Trong giai đoạn đầu, botnet này áp dụng chiến thuật "shotgun" khi đồng thời triển khai nhiều mã khai thác lên cùng một mục tiêu nhằm tối đa hóa khả năng xâm nhập. Riêng ngày 19/10/2025, botnet này ghi nhận việc khai thác tới 49 lỗ hổng bảo mật khác nhau chỉ trong một ngày.

Ví dụ về chiến thuật "shotgun" của RondoDox​

Tuy nhiên, bước sang năm 2026, số lượng lỗ hổng được sử dụng mỗi ngày giảm xuống chỉ còn vài điểm khai thác trọng tâm. Sự thay đổi này cho thấy RondoDox đã chuyển từ tấn công diện rộng sang mô hình nhắm mục tiêu có chọn lọc, tối ưu hiệu quả thay vì phụ thuộc vào số lượng.

Song song với sự điều chỉnh chiến thuật, tốc độ cập nhật lỗ hổng của botnet cũng là yếu tố đáng chú ý. Nhóm vận hành theo dõi sát các công bố bảo mật và nhanh chóng đưa các lỗ hổng mới vào hệ thống khai thác. Điển hình là lỗ hổng CVE-2025-55182 hay còn gọi là React2Shell, được công bố ngày 3/12/2025 nhưng đã bị tích hợp chỉ sau ba ngày, vào ngày 6/12, cho thấy khả năng phản ứng nhanh và mức độ sẵn sàng cao.

Không chỉ dừng ở kỹ thuật khai thác, điểm đáng lo ngại hơn nằm ở cách botnet này xây dựng và vận hành hạ tầng. Thay vì phụ thuộc hoàn toàn vào máy chủ thuê ngoài, RondoDox tận dụng các địa chỉ IP dân dụng bị xâm nhập để lưu trữ mã độc. Trong tổng số 32 IP được theo dõi, một nửa được sử dụng cho hoạt động phát tán khai thác, phần còn lại đóng vai trò máy chủ lưu trữ. Các IP phục vụ khai thác thường thuộc các nhà cung cấp cho phép thanh toán bằng tiền mã hóa, trong khi hệ thống lưu trữ lại phân tán trong mạng dân dụng tại nhiều quốc gia.

Dữ liệu cho thấy một số thiết bị gia đình như hệ thống camera, nhà thông minh hay TV thông minh đã bị lợi dụng làm điểm trung gian phát tán mã độc mà chủ sở hữu không hề hay biết. Điều này không chỉ giúp che giấu dấu vết mà còn khiến việc triệt phá trở nên khó khăn hơn do lưu lượng xuất phát từ các mạng hợp pháp.

Đáng chú ý, để duy trì hoạt động và hạn chế bị phát hiện, hạ tầng này còn được tích hợp cơ chế tự vệ trước các nhà phân tích. Cụ thể, botnet sử dụng danh sách đen để nhận diện các nguồn truy cập đáng ngờ, khi phát hiện yêu cầu từ hệ thống phân tích hoặc nhà nghiên cứu bảo mật, máy chủ sẽ trả về một trang web giả với video nền và các nút bấm không hoạt động nhằm đánh lạc hướng và cản trở quá trình thu thập mẫu mã độc.
​

Trang được trả về khi địa chỉ IP bị đưa vào danh sách đen​

Sự kết hợp giữa quy mô khai thác lớn, tốc độ cập nhật nhanh, hạ tầng phân tán dựa trên IP dân dụng và cơ chế né tránh phân tích cho thấy RondoDox botnet không phải một botnet thông thường mà là một chiến dịch có tổ chức và đầu tư bài bản. Trước thực tế này, việc giảm thiểu rủi ro đòi hỏi các tổ chức không chỉ tập trung vào phát hiện tấn công mà còn phải chủ động thu hẹp bề mặt tấn công.

Để đối phó với sự tinh vi của RondoDox, các tổ chức cần lưu ý:​

• Cập nhật bản vá định kỳ: Ưu tiên xử lý ngay các lỗ hổng trên thiết bị kết nối trực tiếp với internet.​
• Quản lý dịch vụ từ xa: Rà soát và tắt bỏ các dịch vụ truy cập không cần thiết; nếu bắt buộc sử dụng, cần triển khai VPN và xác thực đa yếu tố.​
• Giám sát lưu lượng mạng: Theo dõi các kết nối bất thường từ nội bộ đến các dải IP lạ, đặc biệt là dấu hiệu liên quan đến hạ tầng điều khiển botnet.​

Theo Cyber Security News​