Botnet RondoDox : Menace sur les serveurs Next.js et IoT - Comment se protéger en 2025

Églantine Montclair

Une faille critique nommée React2Shell (CVE-2025-55182) est actuellement massivement exploitée par le botnet RondoDox pour prendre le contrôle de milliers de serveurs web et d’objets connectés. Selon les dernières données de décembre 2025, plus de 90 000 instances seraient encore vulnérables à travers le globe.

Ce botnet, actif depuis le début de l’année 2025, a récemment intensifié ses opérations en intégrant cette nouvelle vulnérabilité à son arsenal. Son objectif est clair : recruter des machines pour former une armée de zombies capables de lancer des attaques par déni de service ou d’exécuter des scripts malveillants.

Comprendre la vulnérabilité React2Shell (CVE-2025-55182)

Qu’est-ce que React2Shell ?

Il s’agit d’une faille de sécurité critique affectant les React Server Components (RSC) et le framework Next.js. Cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code à distance sur le serveur cible. Avec un score CVSS de 10.0, elle est considérée comme la menace la plus sévère possible, au même titre que la vulnérabilité critique n8n CVE-2025-68613 avec un CVSS de 9.9.

La nature de cette faille réside dans une mauvaise gestion des composants côté serveur, permettant une évasion du contexte de sécurité attendu. Concrètement, l’attaquant peut injecter du code qui sera interprété par le serveur, lui accordant un accès quasi-total.

L’ampleur de l’exposition en France

La situation est particulièrement préoccupante pour le marché français. D’après les statistiques de la Shadowserver Foundation, on dénombre environ 2 800 instances vulnérables situées en France. À l’échelle mondiale, le total s’élève à 90 300 instances, la majorité (68 400) se trouvant aux États-Unis.

Cette surface d’attaque importante explique pourquoi les groupes de cybercriminels comme ceux derrière RondoDox ciblent activement ces technologies.

L’évolution du Botnet RondoDox

Une stratégie opérationnelle en trois phases

Le botnet RondoDox a adopté une approche méthodique pour maximiser son impact. Les chercheurs ont identifié trois phases distinctes avant l’exploitation actuelle :

  1. Mars - Avril 2025 : Phase de reconnaissance initiale et de scan manuel des vulnérabilités.
  2. Avril - Juin 2025 : Début des probing massifs quotidiens ciblant des applications web populaires comme WordPress, Drupal, et Struts2, ainsi que des routeurs IoT tels que ceux de la marque Wavlink.
  3. Juillet - Début Décembre 2025 : Automatisation complète à grande échelle avec des déploiements horaires.

Cette progression montre une planification rigoureuse visant à sonder l’immense surface d’attaque avant de lancer l’assaut final.

Un arsenal polyvalent et agressif

RondoDox ne se limite pas à React2Shell. Il ajoute régulièrement de nouvelles vulnérabilités dites “N-day” (connues mais non corrigées) à son répertoire, incluant des vulnérabilités de type buffer overflow dans Net-SNMP CVE-2025-68615. Deux exemples notables sont :

  • CVE-2023-1389 : Une faille dans les routeurs TP-Link.
  • CVE-2025-24893 : Une vulnérabilité récente affectant certains serveurs web.

Cette polyvalence rend le botnet difficile à contrer, car il frappe sur plusieurs fronts technologiques simultanément.

Analyse technique de l’attaque

Le processus d’infection

Lors des attaques détectées en décembre 2025, le déroulement est le suivant :

  1. Scan : Identification des serveurs Next.js vulnérables.
  2. Infiltration : Exploitation de la faille React2Shell.
  3. Déploiement de payloads : L’attaquant dépose plusieurs fichiers malveillants dans le répertoire /nuts/.

Les fichiers déposés incluent :

  • /nuts/poop : Un mineur de cryptomonnaie.
  • /nuts/bolts : Un chargeur de botnet et un vérificateur de santé du système.
  • /nuts/x86 : Une variante du botnet Mirai.

Le mécanisme de défense offensif de “/nuts/bolts”

Un élément particulièrement ingénieux (et dangereux) de cette campagne est le script /nuts/bolts. Son rôle est d’assurer la monopolisation de la machine infectée.

Il agit comme un “nettoyeur” :

  • Il tue les processus concurrents (autres malwares, mineurs).
  • Il supprime les artefacts d’autres campagnes.
  • Il scanne le répertoire /proc toutes les 45 secondes pour tuer tout processus non autorisé.

Citation d’expert : “Le script surveille continuellement le répertoire /proc pour énumérer les exécutables en cours d’exécution et tue les processus non whitelistés toutes les 45 secondes, empêchant efficacement la réinfection par des acteurs concurrents.”

Il configure également une persistance via /etc/crontab, assurant que le malware survit aux redémarrages du serveur.

Tableau comparatif des menaces

MenaceCible principaleVecteur d’accèsObjectif principal
RondoDox (Actuel)Serveurs Next.js, IoTReact2Shell (CVE-2025-55182)Recrutement de botnet, mineur crypto
Mirai (Legacy)IoT (caméras, routeurs)Identifiants par défautDDoS massif
RansomwareEntreprisesPhishing, RDPChantage financier

Protéger vos infrastructures

Mise à jour immédiate

La priorité absolue est de corriger la faille React2Shell. Si vous utilisez Next.js ou des implémentations React Server Components, mettez à jour vers les versions patchées dès que possible. Cela inclut également la surveillance des autres vulnérabilités critiques, comme la fuite de mémoire dans MongoDB CVE-2025-14847 qui affecte les bases de données NoSQL. Negliger cette étape expose le serveur à une compromission quasi instantanée.

Segmentation et isolation

Pour les appareils IoT, la segmentation réseau est vitale. Il est impératif de segmenter tous les appareils IoT dans des VLAN dédiés. Cela isole les équipements vulnérables du reste du réseau critique de l’entreprise. Si un appareil est compromis, l’attaquant ne pourra pas pivoter vers les serveurs sensibles.

Déploiement de pare-feux

L’utilisation de Web Application Firewalls (WAF) est recommandée pour filtrer le trafic HTTP entrant. Un WAF bien configuré peut bloquer les signatures d’attaque connues tentant d’exploiter React2Shell.

Surveillance et réaction

Il faut surveiller activement l’exécution des processus suspects sur les serveurs. L’activité de scan de /proc mentionnée plus haut est un indicateur d’alerte fort.

Voici une liste de contrôle rapide pour les administrateurs système :

  1. Auditer : Vérifier immédiatement la version de Next.js utilisée.
  2. Mettre à jour : Appliquer les correctifs de sécurité.
  3. Isoler : Déplacer les IoT vers des VLANs séparés.
  4. Bloquer : Mettre à jour les règles de pare-feu pour bloquer les IPs C2 connues du botnet.
  5. Analyser : Rechercher la présence des fichiers /nuts/ ou des tâches cron suspectes.

Conclusion

L’essor du botnet RondoDox et l’exploitation de la faille React2Shell soulignent une réalité critique pour l’écosystème numérique en 2025 : la vitesse à laquelle les vulnérabilités des frameworks modernes sont weaponisées. Avec des milliers de serveurs français encore exposés, la réactivité des équipes IT est le facteur clé de la survie des infrastructures.

La sophistication de l’attaque, notamment via le script /nuts/bolts qui élimine la concurrence, montre que les cybercriminels investissent massivement pour sécuriser leurs gains. Il ne suffit plus de patcher ; il faut surveiller, segmenter et anticiper. La prochaine étape pour les administrateurs est de réaliser un audit complet de leurs exposures React et IoT dans les 24 heures à venir.