Mais uma botnet na praça, e essa não veio para brincadeira. A RondoDox mostrou como a falta de QA e patch management pode ser devastadora.
Em apenas nove meses, entre maio de 2025 e fevereiro de 2026, a RondoDox varreu a internet, transformando dispositivos vulneráveis em zumbis para ataques de negação de serviço. A BitSight mapeou a carnificina.
Seu Dispositivo Pode Ser o Próximo Zumbi: O Impacto Real da RondoDox
Imagine seu roteador, aquela câmera de segurança ou até a sua Smart TV virando um soldado raso em um exército digital. É exatamente isso que a RondoDox fazia, transformando dispositivos comuns em peças de uma botnet para orquestrar ataques de negação de serviço (DoS).
Esses ataques são a versão digital de uma multidão bloqueando a porta de uma loja: sobrecarregam um servidor até ele cair, impedindo o acesso legítimo. Com picos de 15 mil tentativas de invasão por dia, a RondoDox não estava para brincadeira, mirando em qualquer brecha que encontrasse.
A mecânica era até familiar para quem já viu o código-fonte do Mirai, mas com um foco mais cirúrgico. A RondoDox não queria só infectar; ela queria derrubar sistemas, e rápido. Era um malware especializado em causar indisponibilidade, um pesadelo para qualquer equipe de SRE.
O processo de infecção era um show de engenharia maliciosa. Primeiro, a botnet varria a internet em busca de alvos com portas abertas ou configurações padrão. Ao encontrar uma vítima, um comando era enviado para que o dispositivo baixasse e executasse um script.
O mais interessante, e preocupante, é que esse script rodava direto na memória, sem deixar rastros no disco. Isso dificultava a detecção e a análise forense, uma verdadeira gambiarra de engenharia para evitar ser pego.
Uma vez em execução, o script passava por quatro fases bem definidas. A primeira era a "limpeza de terreno", tentando dificultar a detecção e remover outros malwares que já estivessem por lá, como um bom vizinho que não quer concorrência.
Em seguida, ele procurava um diretório onde pudesse gravar os arquivos necessários para a operação principal. Por fim, baixava o programa principal da botnet e o executava, consolidando a infecção no sistema comprometido.
E como se não bastasse, o programa principal ainda fazia um deploy de um minerador de criptomoedas, o XMRig. Ou seja, além de ser um zumbi para ataques DoS, seu dispositivo ainda virava um escravo para gerar grana para os atacantes. Um verdadeiro abuso de recursos de hardware.
Depois de tudo isso, o dispositivo infectado se conectava a um servidor de comando e controle (C2), aguardando as próximas instruções. Era a linha de montagem da botnet, pronta para receber ordens e participar do próximo ataque.
Anatomia de um Ataque: Da Estratégia 'Shotgun' aos Erros de Implementação
A estratégia por trás das 174 vulnerabilidades exploradas pela RondoDox é um caso de estudo em engenharia de ataque. A BitSight, que fez o mapeamento, encontrou um mix interessante: 148 com CVE registrado, 15 com prova de conceito pública mas sem CVE, e 11 completamente desconhecidas.
No início, a abordagem era a famosa "shotgun": atirar para todos os lados. O mesmo dispositivo recebia uma enxurrada de exploits diferentes, na esperança de que um deles pegasse. Uma tática bruta, mas que mostrava a urgência em comprometer sistemas.
Mas, como todo bom dev que otimiza o código, os operadores da RondoDox refinaram a estratégia. No começo de 2026, o número de vulnerabilidades ativas caiu drasticamente, focando em apenas duas brechas mais recentes e com maior potencial de sucesso. Menos é mais, até para criminosos.
A velocidade de adoção de novas falhas era impressionante, quase um zero-day em tempo real. A vulnerabilidade CVE-2025-55182, conhecida como React2Shell, foi divulgada em 3 de dezembro de 2025 e, pasmem, três dias depois já estava no arsenal da RondoDox. Isso não é agilidade, é telemetria de vulnerabilidade.
Outro exemplo bizarro foi a CVE-2025-62593, explorada antes mesmo de receber um número CVE oficial. Isso só foi possível porque a prova de conceito (PoC) já estava circulando em fóruns de segurança. É a prova de que esses caras monitoram o underground da segurança mais rápido que muito time de QA.
No entanto, nem tudo era perfeição nessa engenharia do mal. Os pesquisadores da BitSight notaram falhas grotescas na implementação de alguns exploits. Por exemplo, no caso da CVE-2025-47812, o ataque exigia duas requisições HTTP em sequência, mas os logs mostravam que apenas a primeira era enviada. Um erro de lógica básico, que um bom teste unitário teria pego na hora.
E a cereja do bolo da incompetência: na exploração da CVE-2025-62593, o próprio cabeçalho enviado pelo malware continha uma string que, ironicamente, bloqueava o ataque automaticamente. É como fazer um deploy em sexta-feira e derrubar o ambiente de produção com um erro de digitação. Patético.
A análise do uso das vulnerabilidades também revelou um padrão de "teste e descarte". A média de uso de cada brecha era de 18 dias, mas quase metade delas (84 das 174) foi explorada por apenas um dia. Isso sugere um ciclo contínuo de experimentação, onde as falhas que não geravam resultados eram rapidamente abandonadas. Um pipeline de exploits, digamos assim.
E a infraestrutura? Ah, essa é a parte que mostra a verdadeira gambiarra. Para hospedar os arquivos maliciosos, a RondoDox usava IPs residenciais, ou seja, dispositivos domésticos comprometidos. Estamos falando de interfaces de câmera de segurança UniFi Protect, painéis de automação residencial Control4 e até servidores web de TVs Android da TCL.
Esses dispositivos não eram usados para atacar diretamente, mas como pontos de distribuição para os payloads. Uma rede de entrega de conteúdo (CDN) do mal, que dificultava o rastreamento da operação. É o cúmulo da falta de segurança em IoT sendo explorada.
Já os servidores de comando e controle (C2), que são o cérebro da operação, ficavam em provedores de hospedagem comercial. Apenas quatro IPs diferentes foram usados para essa função durante todo o período, mostrando um ponto centralizado de falha, se alguém tivesse a capacidade de derrubá-los. Uma arquitetura que, apesar de engenhosa em alguns pontos, tinha suas vulnerabilidades óbvias.
A RondoDox, em sua breve existência, deixou claro que a superfície de ataque é vasta e a vigilância constante é a única defesa contra a engenharia reversa do caos.