RondoDox IoT 봇넷, 56개 취약점으로 확장

다수의 보안 연구자들이 RondoDox IoT 봇넷 캠페인의 대규모 확장을 상세히 설명했습니다. 이 봇넷은 처음에는 두 가지 취약점을 목표로 했으나, 이제 30개 이상의 벤더에서 56개의 취약점을 무기화하고 있습니다.

보안 업체 Trend Micro의 Zero Day Initiative와 연구팀은 2025년 중반부터 전 세계적으로 활발한 악용이 관찰되었으며, 여러 취약점이 미국 사이버 보안 및 인프라 보안국의 알려진 취약점 목록에 포함되었다고 보고했습니다.

FortiGuard Labs가 올해 초 발표한 초기 RondoDox 분석에서는 TBK DVR 장치의 CVE-2024-3721 및 Four-Faith 라우터의 CVE-2024-12856을 악용하는 봇넷을 식별했습니다.

RondoDox 운영자들은 이제 Trend Micro가 '익스플로잇 샷건' 접근법이라고 설명하는 방식을 채택하여 여러 익스플로잇을 발사해 성공적으로 타겟을 침투하는 방법을 찾고 있습니다.

이들의 확장된 무기고에는 50개의 명령어 주입 취약점, 두 개의 경로 탐색 취약점, 버퍼 오버플로우, 인증 우회, 메모리 손상 취약점이 포함되어 있습니다.

RondoDox는 XOR 인코딩을 사용하여 구성 데이터를 난독화하며, 게임 플랫폼 및 VPN 서비스의 합법적인 트래픽을 모방하여 탐지를 피합니다. 이 악성코드는 Valve, Minecraft, Roblox, Fortnite, Discord, OpenVPN, WireGuard와 같은 서비스의 트래픽으로 위장합니다.

RondoDox는 Mirai 및 Morte 페이로드와 함께 패키징되는 로더-서비스-인프라를 통해 배포되고 있습니다. CloudSEK 연구원들은 6개월에 걸친 명령 및 제어 로그를 통해 이 작전을 발견했으며, 2025년 7월과 8월 사이에 공격이 230% 증가했다고 보고했습니다.