RondoDox : Comment le Botnet Exploite la Faille React2Shell pour Cibler les Serveurs Web et IoT

Apollinaire Monteclair

Un botnet nommé RondoDox a intensifié ses opérations à la fin de l’année 2025, exploitant une faille critique de gravité maximale pour compromettre des milliers de serveurs web et de dispositifs IoT. Selon les dernières analyses de cybersécurité, cette menace persistante opère depuis neuf mois, mais son escalade récente marque un tournant dangereux pour l’infrastructure numérique mondiale.

Le vecteur d’attaque principal repose sur une vulnérabilité désignée sous le nom de React2Shell (CVE-2025-55182). Avec un score CVSS de 10.0, cette faille touche les React Server Components et le framework Next.js, offrant aux attaquants une exécution de code à distance (RCE) sans nécessiter d’authentification préalable. Cette situation expose des serveurs par ailleurs sécurisés à un risque d’infection immédiat.

Pour une analyse approfondie des vulnérabilités critiques similaires, consultez notre article sur MongoDB CVE-2025-14847. Avec un score CVSS de 10.0, cette faille touche les React Server Components et le framework Next.js, offrant aux attaquants une exécution de code à distance (RCE) sans nécessiter d’authentification préalable. Cette situation expose des serveurs par ailleurs sécurisés à un risque d’infection immédiat.

L’Escalade d’une Campagne de Neuf Mois

L’activité de RondoDox ne s’est pas construite du jour au lendemain. Les chercheurs ont identifié une stratégie progressive qui a permis au botnet de solidifier son emprise avant d’exploiter la vulnérabilité React2Shell. Cette approche méthodique démontre une planification rigoureuse de la part des opérateurs de la menace.

Le déploiement de la campagne s’est articulé autour de trois phases distinctes :

  1. Reconnaissance initiale (Mars - Avril 2025) : Les acteurs malveillants ont effectué des scans manuels pour identifier des cibles potentielles.
  2. Probing massif (Avril - Juin 2025) : L’attaque s’est intensifiée avec des vérifications quotidiennes de masse visant des applications web populaires comme WordPress, Drupal et Struts2, ainsi que des routeurs IoT spécifiques (notamment les marques Wavlink).
  3. Automatisation à grande échelle (Juillet - Début Décembre 2025) : Le botnet a franchi un cap en automatisant ses déploiements à une fréquence horaire, préparant le terrain pour l’exploitation massive de la faille React2Shell.

Cette progression a permis à RondoDox d’élargir son arsenal avec d’autres vulnérabilités de type “N-day” (connues mais non encore corrigées partout), telles que CVE-2023-1389 et CVE-2025-24893.

La Vulnérabilité React2Shell (CVE-2025-55182)

Au cœur de l’attaque réside la faille React2Shell. Il s’agit d’une vulnérabilité critique dans la logique des React Server Components et de Next.js qui permet à un attaquant non authentifié de contourner les mécanismes de sécurité et d’exécuter du code arbitraire.

Pourquoi cette faille est-elle si dangereuse ?

  • Gravité maximale (CVSS 10.0) : Elle représente le niveau de risque le plus élevé possible.
  • Absence d’authentification : L’attaquant n’a pas besoin de comptes d’utilisateur valides.
  • Cible large : Elle affecte une grande partie de l’écosystème des applications web modernes basées sur React et Next.js.

Selon les données de la Shadowserver Foundation, l’ampleur de l’exposition est considérable. Au 31 décembre 2025, environ 90 300 instances restaient vulnérables à cette faille. La répartition géographique montre une concentration aux États-Unis (68 400 instances), suivie par l’Allemagne, la France (environ 2 800 instances) et l’Inde.

L’exploitation de cette faille a été observée par plusieurs acteurs majeurs de la sécurité, dont Darktrace, Kaspersky et VulnCheck, confirmant la réalité de la menace.

L’Attaque en Temps Réel : Payloads et Persistence

Une fois que RondoDox identifie un serveur Next.js vulnérable, l’infection est quasi instantanée.

Pour une analyse détaillée d’une autre vulnérabilité critique affectant les bases de données, découvrez notre article sur CVE-2025-14847 (MongoDB). Les attaquants ne se contentent pas d’un simple accès ; ils déploient une suite de payloads conçus pour contrôler l’environnement et éliminer la concurrence.

Le processus d’infection suit un schéma redoutablement efficace :

  1. Détection et Scan : Identification des serveurs Next.js exposés.
  2. Dépôt des outils (Répertoire /nuts) :
    • /nuts/poop : Un mineur de cryptomonnaie, première source de revenus.
    • /nuts/bolts : Un chargeur de botnet et un “health checker”.
    • /nuts/x86 : Une variante du botnet Mirai.

Le fichier /nuts/bolts joue un rôle central de nettoyage. Il est programmé pour tuer les processus de mineurs de cryptomonnaie concurrents et d’autres malwares avant de télécharger le binaire principal du botnet depuis le serveur de commande et de contrôle (C2).

Une technique de persistance avancée

Pour maintenir sa présence sur le serveur compromis, RondoDox utilise une méthode agressive. L’outil analyse continuellement le système de fichiers /proc pour lister les exécutables en cours d’exécution.

Toutes les 45 secondes, il tue les processus qui ne sont pas sur sa liste blanche (whitelist). Cette routine empêche non seulement la réinfection par d’autres acteurs malveillants, mais assure également que le botnet reste le seul maître du système. Pour garantir que le malware se relance après un redémarrage, il modifie le fichier /etc/crontab.

L’Impact sur le Marché Français et les Enjeux de Sécurité

La présence de près de 3 000 instances vulnérables en France souligne la nécessité d’une vigilance accrue pour les entreprises hébergeant des applications web modernes. L’utilisation de Next.js étant très répandue dans le développement d’interfaces performantes, la surface d’attaque est vaste.

Les conséquences d’une infection par RondoDox vont au-delà de la simple compromission technique :

  • Consommation de ressources : Les mineurs de cryptomonnaie ralentissent les performances des serveurs légitimes.
  • Instabilité : Les processus de “nettoyage” peuvent interrompre des services légitimes.
  • Pivotement lateral : Un serveur web compromis peut servir de point d’entrée vers le réseau interne de l’entreprise.

Tableau Comparatif des Vecteurs d’Attaque RondoDox

VulnérabilitéCible PrincipaleGravité (CVSS)Mécanisme d’ExploitationStatut Mitigation
React2Shell (CVE-2025-55182)Serveurs Next.js / RSC10.0 (Critique)RCE sans authentificationCorrectif disponible
CVE-2023-1389Routeurs TP-Link8.8 (Haute)Injection de commandesCorrectif disponible
CVE-2025-24893Serveurs Apache7.5 (Moyenne)Corruption de mémoireCorrectif disponible

Stratégies de Défense et Recommandations

Face à la sophistication de RondoDox, une simple mise à jour peut ne pas suffire si le système est déjà compromis. Toutefois, une approche défensive en couches reste la meilleure protection.

1. Mise à jour urgente des serveurs Next.js

La priorité absolue est d’appliquer les correctifs disponibles pour React Server Components et Next.js. Toute instance non mise à jour expose l’ensemble de l’infrastructure.

Pour comprendre l’importance critique des mises à jour et les mécanismes d’exploitation des vulnérabilités réseau, consultez notre analyse de CVE-2025-68615 sur net-snmp.

2. Segmentation réseau (VLAN IoT)

Les dispositifs IoT et les serveurs web critiques doivent être isolés sur des réseaux virtuels distincts. Si un appareil IoT est compromis, cette segmentation empêchera le botnet de propager son infection au reste du réseau d’entreprise.

3. Déploiement de WAF (Web Application Firewall)

Un WAF peut bloquer les requêtes malveillantes avant qu’elles n’atteignent l’application. Il est essentiel de configurer des règles spécifiques pour détecter les patterns d’exploitation de la faille React2Shell.

4. Surveillance des processus et du C2

Les équipes de sécurité doivent surveiller :

  • L’exécution de processus inattendus, notamment ceux liés aux répertoires /nuts.
  • Les appels sortants vers les adresses IP des serveurs C2 connus de RondoDox (blocage proactif).
  • Les modifications du fichier /etc/crontab.

Conseil d’expert : Si vous suspectez une infection, ne vous contentez pas de supprimer les fichiers malveillants. La persistance via cron et le nettoyage agressif des processus nécessitent une analyse forensique complète pour s’assurer que le système n’est plus sous le contrôle de l’attaquant.

Conclusion : Vers une Industrialisation des Attaques IoT

L’évolution de RondoDox illustre une tendance inquiétante : l’industrialisation de l’exploitation des failles critiques. En l’espace de quelques mois, le botnet est passé d’une surveillance manuelle à une automatisation capable de compromettre des milliers de serveurs en quelques heures.

Pour les administrateurs système et les responsables de la sécurité de l’information en France et ailleurs, le message est clair. La faille React2Shell est une porte ouverte massive qui doit être fermée d’urgence. Au-delà du correctif technique, la mise en place d’une architecture de sécurité résiliente (segmentation, WAF, surveillance active) est le seul moyen de contrer des menaces aussi agressives que RondoDox.

La prochaine étape pour les défenseurs consistera à auditer leurs logs pour détecter toute trace d’activité suspecte remontant aux mois d’avril ou de mai 2025, période où la campagne de scanning a débuté.