Threats
Atacantes combinam execução remota de código com payloads multiplataforma para comprometer servidores, dispositivos IoT e infraestruturas empresariais expostas à internet
05/01/2026
|
A botnet RondoDox está a explorar ativamente servidores Next.js vulneráveis à falha React2Shell, de acordo com uma análise divulgada pela CloudSEK. A vulnerabilidade, identificada como CVE-2025-55182, afeta sistemas que utilizam a versão 19 da biblioteca open-source React com React Server Components (RSC). A falha foi divulgada publicamente a 3 de dezembro de 2025 e impacta não apenas aplicações baseadas em React, mas também frameworks que dependem desta tecnologia, incluindo Next.js, React Router, RedwoodSDK e Waku. O problema permite que atacantes não autenticados enviem pedidos HTTP especialmente construídos para endpoints de React Server Functions, resultando em execução remota de código (RCE). Segundo a CloudSEK, a exploração começou poucos dias após a divulgação pública da vulnerabilidade, inicialmente associada a grupos de ameaça ligados à China. Cerca de uma semana depois, múltiplos atores começaram a visar instâncias vulneráveis, incluindo os operadores da botnet RondoDox. Entre 8 e 16 de dezembro, os atacantes analisaram diversos servidores de forma a identificar servidores vulneráveis através de testes de RCE “às cegas”. A partir de 13 de dezembro, passaram à fase de exploração ativa, com a distribuição de payloads maliciosos. A investigação indica que os operadores da RondoDox instalaram um framework de suporte à botnet, concebido para remover outros botnets e miners de criptomoedas do sistema comprometido, instalar o cliente da botnet e garantir persistência. Foi também observada a instalação de um miner e de uma variante do malware Mirai. Embora a exploração da React2Shell tenha envolvido payloads direcionados a sistemas Linux, a CloudSEK sublinha que a RondoDox adota uma abordagem de exploração ampla. As primeiras tentativas associadas à botnet remontam a março de 2025, com varrimentos sistemáticos de vulnerabilidades a partir de abril. Desde julho, os operadores têm vindo a integrar de forma contínua novos dispositivos na botnet, incluindo routers expostos à internet, câmaras IP e dispositivos de rede. Para este efeito, recorrem a payloads compatíveis com múltiplas arquiteturas, como x86, x86_64, MIPS, ARM e PowerPC. Para além da exploração de aplicações web como vetor inicial de acesso, as campanhas da RondoDox incluem roubo de credenciais e movimento lateral dentro das redes comprometidas, reforçando o impacto potencial da vulnerabilidade em ambientes empresariais e infraestruturas expostas à internet. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
