Los routers ya no le bastan: RondoDox pone la mira en los servidores
La rapidez con que se adapta esta amenaza alarma incluso a los expertos.
A finales de 2025, los operadores de campañas maliciosas apuestan cada vez más no por una sola vulnerabilidad, sino por todo un conducto de entrega capaz de adaptarse rápidamente a cualquier objetivo. En un análisis técnico reciente, especialistas de Logpoint describieron cómo el botnet de Linux RondoDox evolucionó de un contagio masivo de dispositivos IoT a un esquema de entrega más flexible y empezó a sondear con mayor intensidad los servicios corporativos.
La familia RondoDox fue detectada por primera vez por FortiGuard Labs en septiembre de 2024, y durante 2025 recibió una descripción más detallada. En las fases iniciales la campaña buscaba principalmente dispositivos con acceso abierto a internet, incluidos DVR y routers, para engrosar una red DDoS. Ahora el comportamiento recuerda cada vez más a una canalización operativa y de entrega: intrusión rápida, determinación expedita de las características del nodo e instalación del componente que mejor encaje con la misión de los operadores.
Según CloudSEK, la actividad evolucionó por fases: la exploración y las pruebas dieron paso a la explotación automatizada y luego a grandes oleadas de captación de dispositivos IoT. Trend Micro y la unidad ZDI señalaron el enfoque de «escopeta», en el que los atacantes intentan decenas de vulnerabilidades conocidas a la vez en lugar de construir la propagación en torno a una sola. En informes posteriores sobre RondoDox v2 se menciona un conjunto aún mayor de exploits entregados en series para aumentar la probabilidad de intrusión exitosa.
A finales de 2025 la campaña comenzó a incorporar más rápidamente nuevas fallas en productos de servidor. En noviembre la actividad se vinculó con la explotación de una vulnerabilidad RCE en XWiki, y en diciembre con el uso de React2Shell contra servidores basados en Next.js. Los autores del informe subrayan que el riesgo clave no es una vulnerabilidad concreta, sino los retrasos en la instalación de actualizaciones y el hecho de que los servicios sigan accesibles desde internet mientras los operadores prueban distintas vías de entrada.
Se presta atención específica a la infraestructura que hace el esquema resistente a bloqueos y decomisos. Se describe una arquitectura distribuida con una capa de tránsito y varias «vías» de hosting para el escaneo, el alojamiento de contenido intermedio y la distribución de cargas. Entre los sistemas autónomos identificados figuran Sovy Cloud Services, Cheapy-Host, Nybula, EKABI, Zhongguancun, así como proveedores en Brasil y en Seychelles. Al mismo tiempo se enfatiza que un ASN por sí solo no prueba vínculo con RondoDox y más bien refleja el uso de espacios alquilados que se pueden cambiar con rapidez.
En la cadena de infección juega un papel importante un cargador shell ligero. Prepara el entorno, determina la arquitectura de la CPU y descarga la compilación ELF adecuada; además puede eliminar procesos maliciosos competidores, persistir y “limpiar” el sistema para reducir la visibilidad de las huellas. La carga principal, según el análisis estático, es modular y recibe órdenes de un servidor de control, lo que permite a los operadores alternar escenarios: desde un nodo de botnet hasta un proxy, un minero o un punto intermedio para ataques posteriores.