Serangan Siber Baru, Botnet RondoDox Incar IoT dan Server Web

Ancaman keamanan siber kembali meningkat seiring terungkapnya kampanye botnet berskala besar bernama RondoDox yang aktif membajak perangkat Internet of Things (IoT) dan server web di berbagai negara. Kampanye ini dilaporkan telah berlangsung selama sembilan bulan dan memanfaatkan celah keamanan kritis terbaru bernama React2Shell untuk mengambil alih sistem yang rentan.

Temuan ini diungkap oleh peneliti keamanan siber dari CloudSEK, yang mencatat bahwa hingga Desember 2025, RondoDox secara aktif mengeksploitasi celah CVE-2025-55182 dengan skor CVSS sempurna 10.0. Celah ini menjadi pintu masuk utama bagi pelaku kejahatan siber untuk menyusup tanpa perlu proses autentikasi.

React2Shell sendiri merupakan kerentanan kritis yang ditemukan pada React Server Components (RSC) dan framework Next.js, dua teknologi populer yang banyak digunakan dalam pengembangan aplikasi web modern. Melalui celah ini, penyerang dapat menjalankan perintah berbahaya dari jarak jauh atau dikenal sebagai remote code execution (RCE), sehingga memungkinkan mereka mengendalikan server sepenuhnya.

Skala ancaman ini terbilang masif. Data dari Shadowserver Foundation menunjukkan bahwa hingga 31 Desember 2025, terdapat sekitar 90.300 sistem yang masih rentan terhadap React2Shell. Mayoritas sistem tersebut berada di Amerika Serikat dengan jumlah mencapai 68.400, diikuti oleh Jerman (4.300), Prancis (2.800), dan India (1.500). Angka ini menandakan masih rendahnya tingkat pembaruan sistem di banyak organisasi.

RondoDox sendiri bukanlah botnet baru. Ia pertama kali terdeteksi pada awal 2025 dan terus berevolusi dengan menambahkan berbagai kerentanan lama (N-day vulnerabilities) ke dalam metode serangannya. Beberapa celah yang turut dimanfaatkan antara lain CVE-2023-1389 dan CVE-2025-24893. Menariknya, penyalahgunaan React2Shell oleh botnet ini sebelumnya juga telah diidentifikasi oleh sejumlah perusahaan keamanan ternama seperti Darktrace, Kaspersky, dan VulnCheck.

Berdasarkan analisis CloudSEK, kampanye RondoDox berkembang melalui tiga fase utama. Pada fase pertama, yaitu Maret hingga April 2025, pelaku melakukan pengintaian awal dan pemindaian kerentanan secara manual. Fase kedua berlangsung antara April hingga Juni 2025, di mana mereka mulai melakukan pemindaian massal setiap hari terhadap berbagai aplikasi web populer seperti WordPress, Drupal, dan Struts2, serta perangkat IoT termasuk router Wavlink.

Memasuki fase ketiga, mulai Juli hingga awal Desember 2025, serangan meningkat drastis dengan penyebaran otomatis berskala besar yang dilakukan hampir setiap jam. Pada tahap inilah RondoDox berkembang menjadi ancaman serius dengan tingkat infeksi yang jauh lebih cepat dan luas.

Dalam serangan yang terdeteksi pada Desember 2025, pelaku terlebih dahulu memindai server Next.js yang masih rentan. Setelah berhasil masuk, mereka mencoba menanamkan sejumlah komponen berbahaya, termasuk penambang mata uang kripto yang dikenal dengan path /nuts/poop, pemuat botnet sekaligus alat pemeriksa kondisi sistem /nuts/bolts, serta varian botnet Mirai dengan nama /nuts/x86.

Komponen /nuts/bolts memiliki peran krusial dalam operasi RondoDox. Alat ini dirancang untuk menyingkirkan malware pesaing dan penambang kripto lain yang sudah lebih dulu menginfeksi sistem. Setelah “membersihkan” perangkat, alat tersebut akan mengunduh bot utama dari server command-and-control (C2) milik pelaku.

Menariknya, salah satu varian /nuts/bolts ditemukan mampu menghapus botnet yang sudah dikenal, payload berbasis Docker, sisa artefak dari kampanye sebelumnya, hingga cron job terkait. Selain itu, malware ini juga memastikan keberlanjutan infeksi dengan membuat mekanisme persistensi melalui modifikasi file /etc/crontab.

CloudSEK menjelaskan bahwa alat ini secara berkala memindai direktori /proc untuk mengidentifikasi proses yang sedang berjalan. Setiap sekitar 45 detik, sistem akan menghentikan proses yang tidak masuk dalam daftar putih. Strategi ini efektif mencegah perangkat yang sudah terinfeksi direbut kembali oleh kelompok penyerang lain.

Untuk mengurangi risiko dari ancaman botnet RondoDox, para pakar keamanan menyarankan organisasi dan pengelola sistem agar segera memperbarui Next.js ke versi terbaru yang telah ditambal. Selain itu, perangkat IoT sebaiknya dipisahkan ke dalam VLAN khusus, menerapkan Web Application Firewall (WAF), memantau aktivitas proses yang mencurigakan, serta memblokir infrastruktur C2 yang telah teridentifikasi. Tanpa langkah mitigasi yang tepat, ancaman seperti RondoDox berpotensi terus berkembang dan merugikan ekosistem digital secara luas.