RondoDox es una campaña de botnet que ha escalado rápidamente: utiliza más de 50 exploits contra dispositivos de más de 30 proveedores (routers, DVR/NVR, cámaras, servidores web y equipos industriales) y ha demostrado que las vulnerabilidades presentadas en concursos como Pwn2Own terminan siendo aprovechadas en ataques a gran escala. Su modus operandi es un “exploit shotgun”: probar múltiples fallos hasta que alguno funcione y, si lo hace, desplegar loaders que instalan backdoors y payloads tipo Mirai/Morte. El resultado: exposición masiva, exfiltración de datos y compromisos persistentes en infraestructuras con dispositivos expuestos a Internet.
¿Por qué importa esto a su empresa?
Alto riesgo para equipos con interfaz pública: routers, NVR/DVR, CCTV y gateways sin parchear son objetivos prioritarios.
Ventana de riesgo corta: la transición entre divulgación y explotación efectiva es cada vez más rápida.
Ataques automáticos y escalables: la campaña usa infraestructuras rotativas y loaders-as-a-service, lo que multiplica la velocidad y escala del compromiso.
Lo más relevante
RondoDox ha explotado CVEs que aparecieron en Pwn2Own (ej. CVE-2023-1389) y una gran lista de fallos N-Day y sin CVE asignado.
El enfoque es multivector: más de 50 vulnerabilidades, muchas de tipo command injection (CWE-78).
Varios CVEs relacionados fueron añadidos al catálogo CISA KEV, lo que eleva la prioridad de parcheo.
Explotación observada globalmente desde mediados de 2025 y con picos en telemetría pública a finales de 2025.
Indicadores y artefactos observados
Patrones en payloads post-explotación: scripts que contienen
#!/bin/sh,chmod 777,service apparmor stopy nombres que contienenrondo.Emails asociados en muestras:
bang2012@protonmail.com,makenoise@tutanota.deComportamiento de red: intentos HTTP/POST para descargar loaders; requests que ejecutan comandos remotos en endpoints conocidos.
Reglas y firmas ya detectadas en soluciones comerciales (ej. firmas Trend) para CVEs y patrones RondoDox.
Línea de tiempo
2022–2023: vulnerabilidades explotadas en Pwn2Own (ej. TP-Link AX series).
Jun 15, 2025: primera detección de RondoDox reutilizando un bug visto en Pwn2Own (CVE-2023-1389).
Mitad–finales 2025: campaña amplia con más CVEs y uso de loaders-as-a-service; rotación de infraestructura y co-distribución con Mirai/Morte.
Vulnerabilidades de alto impacto
CVE-2023-1389 — TP-Link Archer AX21 (command injection)
CVE-2024-3721 — TBK DVR (RCE)
CVE-2024-12856 — Four-Faith industrial router (command injection)
Nota: la lista completa incluye 56 entradas (38 con CVE asignado y 18 sin CVE); la mayoría son command injection.
Detección y hunting
Buscar procesos o comandos que contengan:
#!/bin/shANDchmod 777ANDservice apparmor stopANDrondo.Filtrado en logs web/proxy/firewall por user-agent o strings asociados a loaders y fetches de payloads.
Correlacionar accesos a interfaces de administración de routers/DVR con descargas de binarios o ejecución de comandos remotos.
Revisar conexiones salientes tras compromisos hacia infraestructuras rotativas o dominios que intentan descargar payloads.
Recomendaciones operativas (priorizadas)
Parchar inmediatamente todos los dispositivos expuestos a Internet, empezando por aquellos listados en CISA KEV y por los vendors en la tabla de RondoDox.
Inventario y clasificación de activos: documentar todos los dispositivos de borde (routers, cámaras, NVR/DVR, gateways industriales) y su estado de parcheo.
Segmentación de red: segregar equipos IoT/OT de la red de producción y limitar accesos administrativos desde Internet.
Aplicar WAF/IPS/filtrado en borde: bloquear patrones de explotación conocidos y rate-limit a control plane.
Monitoreo continuo y hunting: desplegar detección de comportamiento post-explotación (scripts, cambios de permisos, servicios parados).
Respuesta rápida: tener playbooks para aislamiento y recolocación de dispositivos vulnerados; snapshots forenses antes de limpiar.
Reforzar credenciales y autenticación: cambiar credenciales por defecto y habilitar MFA donde aplique (administración remota).
Qué hacer si detectan actividad sospechosa
Aislar el dispositivo de la red inmediatamente (o desconectar su acceso a Internet).
Recolección forense: volcar logs, copiar configuraciones y guardar muestras del malware/payloads.
Bloqueo a nivel edge: aplicar reglas en firewall para bloquear IPs/domains observados y patrones de comandos.
Revisión de persistencia: buscar cronjobs, backdoors web, usuarios/roles nuevos y modificaciones en firmware.
Comunicación interna y con terceros: informar a equipos de operaciones, legal y, si es necesario, organismos reguladores.
Conclusión
RondoDox evidencia dos verdades incómodas: (1) las vulnerabilidades expuestas en eventos de investigación como Pwn2Own terminan en la “canasta” de herramientas de los botnets, y (2) las campañas modernas ya no dependen de una sola vulnerabilidad: disparan un arsenal de exploits y ven qué pega. La postura defensiva debe ser proactiva: inventario, parcheo prioritario (KEV primero), segmentación y detección orientada a comportamiento. Si su organización depende de dispositivos de borde conectados a Internet, esta amenaza merece atención inmediata.
