RondoDox : Comment le Botnet Exploite la Faille React2Shell pour Cibler les Serveurs Web et IoT

Théophane Villedieu

En décembre 2025, la faille critique React2Shell (CVE-2025-55182) a transformé le paysage de la menace pour des milliers d’administrateurs système. Avec un score CVSS de 10.0, cette vulnérabilité a immédiatement été weaponisée par le botnet RondoDox, déclenchant une campagne de grande ampleur visant les serveurs Next.js et les objets connectés.

Selon les dernières données de Shadowserver, près de 90 300 instances restaient vulnérables fin décembre 2025, dont plus de 2 800 en France. Cet article analyse l’évolution technique de cette menace, décompose la stratégie d’attaque de RondoDox et détaille les mesures de protection indispensables pour sécuriser votre infrastructure.

Comprendre la menace RondoDox et la vulnérabilité React2Shell

Le botnet RondoDox est apparu début 2025, mais il a récemment connu une escalade significative en intégrant l’exploitation de React2Shell. Cette vulnérabilité critique affecte les composants serveur React (RSC) et le framework Next.js, permettant à un attaquant non authentifié d’exécuter du code à distance (RCE).

Contrairement à d’autres botnets opportunistes, RondoDox est le fruit d’une campagne méthodique et persistante qui dure depuis neuf mois. L’objectif est clair : constituer un réseau de serveurs web et d’appareils IoT puissants pour mener des attaques DDoS, héberger du maliciel ou miner des cryptomonnaies.

L’impact sur le marché français

La France est particulièrement concernée par cette menace. Bien que les chiffres globaux placent les États-Unis en tête (68 400 instances vulnérables), l’Hexagone figure parmi les pays les plus touchés en Europe avec environ 2 800 serveurs exposés.

Dans la pratique, cela signifie que de nombreuses PME et hébergeurs français utilisant Next.js pour leurs applications web sont exposés sans le savoir. L’automatisation des attaques rend la surveillance manuelle insuffisante.

L’évolution tactique du botnet : une stratégie en trois phases

L’analyse des campagnes menées par RondoDox révèle une montée en compétence progressive. Les chercheurs ont identifié trois phases distinctes avant l’explosion de décembre 2025.

  1. Phase de reconnaissance (Mars - Avril 2025) : Les attaquants ont effectué des scans manuels pour cartographier l’exposition des cibles potentielles.
  2. Phase de scanning de masse (Avril - Juin 2025) : Passage à des scans quotidiens intensifs sur des applications web populaires (WordPress, Drupal, Struts2) et des routeurs IoT (Wavlink).
  3. Phase d’automatisation (Juillet - Décembre 2025) : Déploiement automatisé à l’échelle, préparant le terrain pour l’exploitation massive dès la divulgation de la faille.

Cette patience démontre un niveau de planification rare. Les attaquants ne cherchent pas l’infection immédiate mais construisent une base de données de cibles vulnérables pour frapper au moment opportun.

Le mécanisme d’infection : Comment RondoDox prend le contrôle

Une fois la faille React2Shell identifiée sur un serveur Next.js, le botnet déclenche une séquence d’infection redoutablement efficace. L’attaque ne se contente pas de compromettre la machine : elle élimine toute concurrence.

Le déploiement des payloads

Les attaquants tentent de déposer trois composants principaux sur les serveurs infectés :

  • /nuts/poop : Un mineur de cryptomonnaie, conçu pour générer des revenus rapides.
  • /nuts/bolts : Un chargeur de botnet et un vérificateur de santé du système.
  • /nuts/x86 : Une variante du botnet Mirai, spécialisée dans les attaques DDoS.

La suppression des concurrents

Le composant /nuts/bolts est particulièrement dangereux. Son rôle est d’assurer la domination exclusive de RondoDox sur la machine infectée.

“Il continue de scanner /proc pour énumérer les exécutables en cours d’exécution et tuer les processus non autorisés toutes les ~45 secondes, empêchant efficacement la réinfection par des acteurs concurrents.”

Cette technique de “nettoyage” inclut la suppression d’autres botnets, de charges utiles basées sur Docker, et de tâches cron laissées par des campagnes précédentes. RondoDox installe ensuite sa propre persistance via /etc/crontab.

Les vulnérabilités additionnelles exploitées

Bien que React2Shell soit la porte d’entrée actuelle, RondoDox ne s’y limite pas. Le botnet a enrichi son arsenal avec des vulnérabilités “N-day”, c’est-à-dire des failles déjà connues mais non corrigées.

Les deux principales vulnérabilités secondaires sont :

  • CVE-2023-1389 : Une faille de type Buffer Overflow dans les produits TP-Link, souvent utilisée pour compromettre des routeurs.
  • CVE-2025-24893 : Une vulnérabilité récente affectant certaines applications web Java.

Ces attaquants surveillent également les vulnérabilités critiques dans les systèmes de base de données, comme la fuite de mémoire MongoDB CVE-2025-14847 pour étendre leur surface d’attaque.

Cette polyvalence permet au botnet de frapper sur plusieurs fronts, augmentant drastiquement son taux de succès.

Tableau comparatif : Les phases de l’attaque RondoDox

Pour mieux visualiser la progression de la menace, voici une synthèse des techniques employées selon la période.

PériodeActivité PrincipaleCibles PrioritairesNiveau d’Automatisation
Mars - Avril 2025Scans manuels, reconnaissanceServeurs web exposésFaible
Avril - Juin 2025Probing quotidien de masseWordPress, Drupal, IoTMoyen
Juillet - Nov. 2025Scans horaires automatisésNext.js, Struts2Élevé
Décembre 2025Exploitation React2ShellNext.js (CVE-2025-55182)Massif

Stratégies de mitigation et de protection

Face à une menace aussi structurée, une simple mise à jour ne suffit pas toujours. Il faut adopter une approche de défense en profondeur. Voici les actions prioritaires à mettre en œuvre dès maintenant.

1. Mise à jour urgente de Next.js

La correction de la vulnérabilité React2Shell est la priorité absolue. Si vous utilisez Next.js ou des composants serveur React, assurez-vous d’être sur une version patchée (généralement Next.js 14.2.15 ou supérieur, et React 18.3.1 ou supérieur selon les éditeurs de patches).

2. Segmentation réseau et micro-segmentation

Les objets connectés (IoT) sont souvent la porte d’entrée vers le cœur du réseau. Il est impératif de les isoler.

  • Créez des VLANs dédiés pour les appareils IoT.
  • Empêchez les communications entre les VLANs IoT et les serveurs critiques.
  • Limitez l’accès Internet strictement aux besoins fonctionnels.

3. Déploiement de WAF (Web Application Firewall)

Un WAF peut bloquer les signatures d’attaque connues avant même qu’elles n’atteignent votre application. Configurez des règles spécifiques pour détecter les tentatives d’injection de code liées à RSC et Next.js.

4. Surveillance des processus et des tâches cron

RondoDox s’appuie sur /etc/crontab et le scanning de /proc. Une surveillance active est nécessaire :

  • Utilisez des EDR (Endpoint Detection and Response) pour alerter sur la création de processus suspects (comme ceux dans /nuts/).
  • Auditez régulièrement les tâches cron pour détecter des exécutions inattendues.

5. Blocage des infrastructures C2

Identifiez et bloquez les adresses IP des serveurs de commande et contrôle (C2) connus de RondoDox. Ces listes sont mises à jour régulièrement par les fournisseurs de renseignements sur les menaces. Parallèlement, surveillez les menaces émergentes sur vos autres infrastructures, notamment les vulnérabilités Net-SNMP qui peuvent servir de vecteur d’attaque complémentaire.

Étapes actionnables pour les administrateurs système

Pour structurer votre réponse à l’incident ou prévenir une infection, suivez ce processus en 5 étapes.

  1. Audit immédiat : Lancez un scan de votre périmètre pour identifier les instances Next.js vulnérables ou les appareils IoT exposés (notamment les routeurs Wavlink). N’oubliez pas d’étendre cette vérification à vos autres services critiques, en surveillant notamment les vulnérabilités récentes comme MongoDB CVE-2025-14847 qui peuvent affecter vos bases de données.
  2. Application des patches : Mettez à jour les frameworks et bibliothèques vulnérables dans les plus brefs délais.
  3. Nettoyage : Si un serveur est infecté, la réinstallation complète du système est recommandée. RondoDox modifie le système de fichiers et installe des rootkits.
  4. Renforcement de la configuration : Appliquez le principe du moindre privilège sur tous les services et isolez les segments de réseau.
  5. Mise en place de la surveillance continue : Activez les alertes sur les comportements anormaux du système (fichiers inconnus, processus tués fréquemment).

Conclusion : La vigilance comme seul rempart

L’émergence de RondoDox et l’exploitation de la faille React2Shell (CVE-2025-55182) illustrent une tendance inquiétante : les botnets ne sont plus de simples scripts automatiques, mais des armées logistiques capables de planifier des attaques sur le long terme. Avec des dizaines de milliers de serveurs encore vulnérables en Europe et en France, le risque reste élevé.

La clé de la sécurité réside dans la réactivité : la mise à jour des serveurs Next.js doit être traitée comme une urgence critique. En combinant segmentation réseau, surveillance des processus et protection WAF, vous réduisez considérablement la surface d’attaque.

Ne sous-estimez pas la capacité de RondoDox à éliminer les concurrents et à persister sur les systèmes. Une approche proactive et des audits réguliers sont les seuls garants de l’intégrité de votre infrastructure face à ces menaces évolutives.