Botnet RondoDox Eksploitasi Celah React2Shell untuk Menyerang Server Next.js

Botnet RondoDox terdeteksi aktif mengeksploitasi kerentanan kritis React2Shell (CVE‑2025‑55182) untuk menginfeksi server Next.js yang rentan dengan malware dan cryptominer. Temuan ini menandai eskalasi serius dalam penyalahgunaan celah React Server Components (RSC) di lingkungan produksi.

React2Shell: RCE Tanpa Autentikasi

React2Shell merupakan kerentanan remote code execution (RCE) tanpa autentikasi yang dapat dieksploitasi hanya melalui satu permintaan HTTP. Celah ini berdampak pada seluruh framework yang mengimplementasikan protokol React Server Components (RSC) “Flight”, termasuk Next.js..

Kerentanan ini telah dimanfaatkan oleh berbagai aktor ancaman. Sebelumnya, peretas asal Korea Utara dilaporkan menggunakan React2Shell untuk menyebarkan malware baru bernama EtherRAT.

Menurut Shadowserver Foundation, hingga 30 Desember 2025 terdapat lebih dari 94.000 aset yang terekspos ke internet dan masih rentan terhadap React2Shell.

Aktivitas RondoDox Terbaru

Laporan terbaru dari perusahaan keamanan siber CloudSEK mengungkap bahwa:

• RondoDox mulai memindai server Next.js yang rentan pada 8 Desember 2025
• Tiga hari kemudian, botnet mulai menyebarkan klien malware
• Dalam enam hari di bulan Desember, botnet meluncurkan lebih dari 40 upaya eksploitasi React2Shell

RondoDox sendiri pertama kali didokumentasikan oleh Fortinet pada Juli 2025 sebagai botnet berskala besar yang mengeksploitasi berbagai n‑day vulnerability secara global. Pada November, VulnCheck juga menemukan varian RondoDox yang mengeksploitasi CVE‑2025‑24893, celah RCE kritis di platform XWiki.

Tiga Fase Operasional RondoDox di 2025

Menurut CloudSEK, RondoDox telah melalui tiga fase utama sepanjang tahun ini:

1. Reconnaissance & vulnerability testing (Maret–April 2025)
2. Eksploitasi otomatis aplikasi web (April–Juni 2025)
3. Deploy botnet IoT skala besar (Juli 2025–sekarang)

Pada fase terbaru, RondoDox juga menjalankan gelombang eksploitasi IoT setiap jam, menargetkan router Linksys, Wavlink, serta perangkat konsumer dan enterprise lainnya untuk merekrut bot baru.

Payload Berbahaya yang Dideploy

Setelah menemukan server yang rentan, RondoDox menyebarkan beberapa payload, antara lain:

• Coinminer (/nuts/poop)
• Botnet loader & health checker (/nuts/bolts)
• Varian Mirai (/nuts/x86)

Komponen bolts berfungsi untuk:

• Menghapus malware botnet pesaing
• Menjaga persistensi melalui /etc/crontab
• Menghentikan proses non‑whitelist setiap 45 detik

Rekomendasi Mitigasi dari CloudSEK

Untuk melindungi sistem dari aktivitas RondoDox, CloudSEK merekomendasikan:

• Audit dan patch Next.js Server Actions
• Isolasi perangkat IoT ke dalam VLAN khusus
• Monitoring proses mencurigakan di server dan jaringan
• Pembatasan eksposur layanan ke internet publik

Kesimpulan

Eksploitasi React2Shell oleh RondoDox menunjukkan betapa cepatnya aktor ancaman memanfaatkan celah kritis pada framework modern. Organisasi yang menggunakan Next.js dan infrastruktur IoT disarankan untuk segera melakukan patch, segmentasi jaringan, dan pemantauan aktif sebelum sistem mereka direkrut ke dalam botnet berskala besar.