Campañas de malware que distribuyen el Rondo Dox las botnet han ampliado su enfoque de segmentación para explotar más de 50 vulnerabilidades en más de 30 proveedores.
La actividad, descrito con un enfoque similar al de «exploits shotgun», ha seleccionado una amplia gama de infraestructuras expuestas a Internet, incluidos enrutadores, grabadoras de vídeo digitales (DVR), grabadoras de vídeo en red (NVR), sistemas de CCTV, servidores web y varios otros dispositivos de red, según Trend Micro.
La empresa de ciberseguridad dijo que detectó un intento de intrusión de RondoDox el 15 de junio de 2025, cuando los atacantes explotaron CVE-2023-1389 , una falla de seguridad en los enrutadores TP-Link Archer que tiene ser objeto de explotación activa repetidamente desde que se dio a conocer por primera vez a finales de 2022.
RondoDox fue primera documentación de Fortinet FortiGuard Labs en julio de 2025, detallaba los ataques dirigidos a las grabadoras de vídeo digital (DVR) TBK y a los enrutadores Four-Faith para incorporarlos a una red de bots para llevar a cabo ataques de denegación de servicio (DDoS) distribuidos contra objetivos específicos mediante los protocolos HTTP, UDP y TCP.
«Más recientemente, RondoDox amplió su distribución mediante el uso de una infraestructura de «carga como servicio» que empaqueta simultáneamente RondoDox con las cargas útiles de Mirai/Morte, lo que hace que la detección y la reparación sean más urgentes», afirma Trend Micro.
El amplio arsenal de exploits de RondoDox incluye casi cinco docenas de fallas de seguridad, de las cuales 18 no tienen un identificador CVE asignado. Las 56 vulnerabilidades abarcan varios proveedores, como D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQRouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion,, y Cisco.
«La última campaña de botnets RondoDox representa una evolución significativa en la explotación automatizada de la red», añadió la empresa. «Es una señal clara de que la campaña está evolucionando, pasando del oportunismo con un solo dispositivo a una operación de carga multivectorial».
A finales del mes pasado, CloudSEK revelada detalles de una botnet de carga como servicio a gran escala que distribuye las cargas útiles de RondoDox, Mirai y Morte a través de enrutadores SOHO, dispositivos de Internet de las cosas (IoT) y aplicaciones empresariales mediante el uso de credenciales débiles, entradas no desinfectadas y CVE antiguas.
La noticia se produce cuando el periodista de seguridad Brian Krebs apuntado que la botnet DDoS conocida como AISURU está «extrayendo la mayor parte de su potencia de fuego» de dispositivos de IoT comprometidos alojados en proveedores de Internet estadounidenses como AT&T, Comcast y Verizon. Se alega que uno de los operadores de la botnet, Forky, es con sede en São Paulo, Brasil, y también está vinculado a un servicio de mitigación de DDoS llamado Botshield.
En los últimos meses, AISURU se ha convertido en una de las redes de bots más grandes y disruptivas, responsable de algunos de los ataques DDoS sin precedentes registrados hasta la fecha. Construida sobre los cimientos de Mirai, la botnet controla aproximadamente 300 000 servidores comprometidos en todo el mundo.
Los hallazgos también siguen al descubrimiento de una operación coordinada de botnets que involucró a más de 100 000 direcciones IP únicas de no menos de 100 países dirigidas a los servicios del Protocolo de escritorio remoto (RDP) en los EE. UU., según GreyNoise.
Se dice que la actividad comenzó el 8 de octubre de 2025 y que la mayoría del tráfico procedía de Brasil, Argentina, Irán, China, México, Rusia, Sudáfrica, Ecuador y otros.
«La campaña emplea dos vectores de ataque específicos: Ataques cronometrados de RD Web Access y Enumeración de inicio de sesión del cliente web RDP — ya que la mayoría de las IP participantes comparten una huella digital TCP similar, lo que indica un control centralizado», la firma de inteligencia de amenazas dijo .