Recientemente se han revelado detalles sobre una campaña de ciberataques persistente que, durante los últimos nueve meses, ha reclutado dispositivos del Internet de las Cosas (IoT) y aplicaciones web para integrarlos en una botnet denominada RondoDox. El vector de ataque principal detectado en diciembre de 2025 es la vulnerabilidad crítica conocida como ‘React2Shell’ (CVE-2025-55182), que afecta a React Server Components (RSC) y Next.js.

Con una calificación de severidad máxima de 10.0, React2Shell permite a atacantes no autenticados lograr la ejecución remota de código en sistemas vulnerables. Se estima que existen más de 90,000 instancias expuestas a nivel mundial. RondoDox ha evolucionado rápidamente incorporando múltiples vulnerabilidades en su arsenal, atacando desde routers Wavlink hasta plataformas como WordPress y Drupal.

El proceso de infección incluye el despliegue de mineros de criptomonedas y un cargador especializado diseñado para eliminar malware de grupos rivales, asegurando así el control total del dispositivo infectado. La botnet también establece mecanismos de persistencia y monitorea constantemente los procesos del sistema para evitar reinfecciones por otros actores de amenazas.

Para mitigar este riesgo, los expertos recomiendan actualizar Next.js a sus versiones parcheadas de inmediato, segmentar los dispositivos IoT en redes VLAN dedicadas, implementar Firewalls de Aplicaciones Web (WAF) y monitorear la ejecución de procesos inusuales.

En INGENIERÍA TELEMÁTICA SAS, ponemos a su disposición nuestra experiencia en soluciones Fortinet (FortiGate WAF), gestión de infraestructura y protección de entornos de nube segura para blindar su organización contra estas amenazas. Si desea evaluar la seguridad de sus aplicaciones web o requiere asistencia técnica para proteger sus activos críticos, le invitamos a contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente nuestro.

Fuente original: Ver aquí