Underc0de - La Casa de los Informáticos

Una nueva botnet a gran escala llamada RondoDox está generando preocupación en la comunidad de ciberseguridad por su capacidad para explotar simultáneamente decenas de vulnerabilidades en una amplia gama de dispositivos conectados. Según investigadores de Trend Micro y FortiGuard Labs, esta red maliciosa ha estado activa desde junio y se dirige principalmente a DVR, NVR, sistemas de CCTV, routers y servidores web vulnerables.

A diferencia de otras botnets más discretas, RondoDox emplea una técnica conocida como "escopeta de exploit", en la que se lanzan múltiples ataques de explotación al mismo tiempo para maximizar el número de infecciones, sin importar que la actividad resulte ruidosa o fácilmente detectable.

Una amenaza en expansión: RondoDox amplía su lista de vulnerabilidades

Desde su descubrimiento, los analistas de FortiGuard Labs han observado que RondoDox ha incrementado el número de fallas que explota, alcanzando ya 56 vulnerabilidades en más de 30 dispositivos distintos. Entre las primeras detectadas figuran CVE-2024-3721 y CVE-2024-12856, pero la lista crece rápidamente conforme los atacantes integran nuevos exploits.

Esta evolución demuestra que los desarrolladores de la botnet siguen de cerca las vulnerabilidades expuestas públicamente, especialmente las demostradas en los eventos de Pwn2Own, organizados por la Zero Day Initiative (ZDI) de Trend Micro.

Pwn2Own es una prestigiosa competencia internacional donde expertos de sombrero blanco presentan exploits de día cero en productos ampliamente utilizados. Sin embargo, los actores maliciosos también siguen de cerca estos concursos para aprovechar los fallos antes de que las empresas afectadas publiquen sus parches.

Explotación masiva de vulnerabilidades "día n"

De acuerdo con Trend Micro, RondoDox está explotando activamente la vulnerabilidad CVE-2023-1389, descubierta originalmente durante Pwn2Own Toronto 2022. Esta falla afecta al router TP-Link Archer AX21, un dispositivo de consumo ampliamente distribuido.

Los investigadores advierten que el desarrollador de RondoDox toma como referencia las demostraciones de Pwn2Own para construir su arsenal de exploits, de manera muy similar a lo que hizo en su momento la botnet Mirai, que también aprovechó CVE-2023-1389 en 2023 para expandirse rápidamente.

A continuación se listan algunas de las principales vulnerabilidades que RondoDox incorpora en su repertorio de ataques:

• Digiever – CVE-2023-52163
• QNAP – CVE-2023-47565
• D-Link – CVE-2024-10914
• TRENDnet – CVE-2023-51833
• Netgear – CVE-2024-12847
• AVTECH – CVE-2024-7029
• TOTOLINK – CVE-2024-1781 / CVE-2025-1829 / CVE-2025-5504
• TP-Link – CVE-2023-1389
• Tenda – CVE-2025-7414
• Linksys – CVE-2025-34037
• Edimax – CVE-2025-22905
• Meteobridge – CVE-2025-4008

Estas fallas abarcan un amplio espectro de dispositivos IoT, desde cámaras IP y grabadores de video hasta routers domésticos y empresariales, lo que convierte a RondoDox en una amenaza particularmente versátil y peligrosa.

Vulnerabilidades sin parche y dispositivos en fin de vida útil

Uno de los factores que favorece la expansión de RondoDox es la persistencia de vulnerabilidades sin parchear, especialmente en equipos que ya alcanzaron su fin de vida útil (EoL). Muchos usuarios y empresas continúan utilizando estos dispositivos sin soporte, lo que los deja altamente expuestos a ataques automatizados.

Por otro lado, incluso los dispositivos más recientes y con soporte activo pueden resultar vulnerables si los usuarios no aplican las actualizaciones de firmware. La tendencia a ignorar los avisos de actualización tras la configuración inicial sigue siendo un problema común en el entorno IoT.

De hecho, Trend Micro ha confirmado que RondoDox también explota 18 fallas de inyección de comandos que aún no cuentan con identificador CVE, lo que sugiere que parte de su arsenal está compuesto por vulnerabilidades desconocidas o no divulgadas públicamente. Estas afectan a unidades NAS de D-Link, DVR TVT y LILIN, enrutadores Fiberhome, ASMAX y Linksys, además de cámaras Brickcom y otros dispositivos aún no identificados.

Cómo protegerte contra RondoDox y otras botnets IoT

Ante el crecimiento constante de botnets como RondoDox, las organizaciones y los usuarios deben adoptar medidas de ciberseguridad preventiva para evitar que sus dispositivos sean reclutados en estas redes maliciosas. Los expertos recomiendan:

• Aplicar las últimas actualizaciones de firmware disponibles directamente desde los sitios oficiales de cada fabricante.
• Reemplazar los dispositivos EoL o sin soporte, ya que no recibirán parches de seguridad.
• Segregar la red: separar los equipos críticos de las redes que albergan dispositivos IoT o conexiones de invitados.
• Desactivar servicios innecesarios y accesos remotos en routers, cámaras IP o grabadores de video.
• Cambiar las credenciales predeterminadas por contraseñas seguras y únicas para cada dispositivo.
• Supervisar el tráfico de red para detectar comportamientos inusuales o conexiones sospechosas a direcciones IP desconocidas.

Estas medidas no solo ayudan a prevenir infecciones por RondoDox, sino que también reducen la superficie de ataque frente a otras botnets activas, como Mozi, Miraigo o Hajime, que continúan circulando en el ecosistema IoT.

RondoDox, una nueva era en la explotación masiva de IoT

La aparición de RondoDox marca un nuevo capítulo en la evolución de las botnets modernas, donde los atacantes combinan vulnerabilidades recientes y fallos antiguos en una misma campaña para lograr una expansión rápida y sostenida.

Su capacidad para explotar decenas de vulnerabilidades simultáneamente demuestra que los delincuentes digitales están automatizando y escalando la explotación a niveles sin precedentes, especialmente en dispositivos IoT y de videovigilancia.

Mientras RondoDox sigue activa y en expansión, la mejor defensa sigue siendo la prevención, el parcheo constante y la vigilancia proactiva. Las empresas deben priorizar la gestión de vulnerabilidades y la segmentación de red como pilares fundamentales de su estrategia de ciberseguridad.

Fuente: https://www.bleepingcomputer.com/