كشف باحثون في الأمن السيبراني عن حملة استمرت تسعة أشهر استهدفت أجهزة إنترنت الأشياء (IoT) وتطبيقات الويب، بهدف ضمها إلى شبكة بوت نت تعرف باسم RondoDox. وبحسب تحليل شركة CloudSEK، فقد اعتمد المهاجمون على ثغرة خطيرة حديثة الاكتشاف تحمل اسم React2Shell (CVE-2025-55182) ذات تقييم خطورة 10.0، والتي تسمح بتنفيذ أوامر عن بُعد دون الحاجة إلى مصادقة، مستغلين مكونات React Server Components وإطار العمل Next.js.
حجم الاستهداف العالمي
إحصاءات مؤسسة Shadowserver أظهرت أن نحو 90,300 نظام ما زال عرضة للاستغلال حتى نهاية ديسمبر 2025، بينها 68,400 في الولايات المتحدة، و4,300 في ألمانيا، و2,800 في فرنسا، و1,500 في الهند. هذا الانتشار الواسع يعكس خطورة الثغرة، خاصة مع اعتمادها كمدخل رئيسي لتوسيع نطاق البوت نت.
مراحل الحملة وتطورها
منذ ظهوره مطلع 2025، مرّت حملة RondoDox بثلاث مراحل رئيسية:
- مارس – أبريل 2025: استطلاع أولي وفحص يدوي للثغرات.
- أبريل – يونيو 2025: تكثيف عمليات الفحص اليومي لتطبيقات مثل ووردبريس، دروبال، Struts2، وأجهزة راوتر Wavlink.
- يوليو – ديسمبر 2025: نشر آلي واسع النطاق على مدار الساعة.
في ديسمبر، رصدت الهجمات عمليات مسح لخوادم Next.js الضعيفة، تلتها محاولات لنشر أدوات خبيثة مثل:
- “/nuts/poop”: مخصص لتعدين العملات الرقمية.
- “/nuts/bolts”: أداة تحميل وفحص صحّة البوت نت، تعمل على إزالة البرمجيات المنافسة وتثبيت الاستمرارية عبر “/etc/crontab”.
- “/nuts/x86”: نسخة معدلة من بوت نت Mirai الشهيرة.
آلية السيطرة ومنع المنافسة
أداة “/nuts/bolts” تقوم بمسح مستمر لمجلد /proc كل 45 ثانية تقريباً، بهدف إنهاء أي عمليات غير مدرجة في القائمة البيضاء، ما يمنع إعادة إصابة الأجهزة من قبل جهات تهديد أخرى. كما أنها تزيل آثار الحملات السابقة، بما في ذلك الحمولات المبنية على Docker والمهام المجدولة.
توصيات الحماية
لتقليل المخاطر، ينصح الخبراء المؤسسات بـ:
- تحديث Next.js إلى النسخة المرقعة فوراً.
- فصل أجهزة إنترنت الأشياء في شبكات VLAN مخصصة.
- نشر جدران حماية لتطبيقات الويب (WAF).
- مراقبة تنفيذ العمليات المشبوهة.
- حجب البنية التحتية المعروفة للتحكم والسيطرة (C2).
