Botnet RondoDox : Menace sur les Serveurs Next.js et les Objets Connectés en 2025

Hippolyte Valdegré

En 2025, un simple serveur web non patché peut devenir la porte d’entrée d’une armée de robots numériques. Selon les derniers rapports de sécurité, une faille critique affectant l’écosystème React a été massivement exploitée par le botnet RondoDox, causant des ravages à l’échelle mondiale.

Le botnet RondoDox, émergé au début de l’année, a récemment intensifié ses activités en exploitant une vulnérabilité de sévérité maximale (CVSS 10.0) dans les React Server Components et Next.js. Cet article analyse le fonctionnement de cette menace, ses phases d’attaque, et les mesures urgentes que les administrateurs français doivent prendre pour sécuriser leurs infrastructures.

La faille React2Shell : une porte ouverte sur le serveur

Le vecteur d’attaque principal identifié par les chercheurs est une vulnérabilité baptisée React2Shell (CVE-2025-55182). Il s’agit d’une faille de type Remote Code Execution (RCE) sans authentification, permettant à un attaquant de prendre le contrôle total d’un serveur vulnérable.

Cette vulnérabilité touche spécifiquement React Server Components (RSC) et le framework Next.js, extrêmement populaires pour le développement web moderne. En pratique, l’attaquant n’a pas besoin de credentials complexes ; il suffit d’envoyer une requête malformée pour exécuter du code à distance.

Les chiffres sont alarmants : Selon la fondation Shadowserver, près de 90 300 instances restaient vulnérables à la fin de l’année 2025. Bien que la majorité soit localisée aux États-Unis, la France comptait encore 2 800 serveurs exposés au moment de l’analyse, sans compter les milliers d’objets connectés potentiellement impactés.

L’évolution du botnet RondoDox : d’une escouade à une armée

RondoDox n’est pas un botnet ordinaire. Il est apparu début 2025 et a rapidement diversifié son arsenal. Au-delà de React2Shell, il exploite d’autres failles “N-day” (connues mais non corrigées), notamment :

  • CVE-2023-1389 (affectant les routeurs TP-Link)
  • CVE-2025-24893 (une vulnérabilité récente dans Apache)
  • CVE-2025-14847 (une vulnérabilité critique dans MongoDB permettant l’accès à la mémoire non initialisée)

Cette capacité à absorber rapidement de nouvelles vulnérabilités fait de RondoDox une menace persistante et difficile à éradiquer.

Les trois phases du déclenchement

L’analyse de la campagne révèle une stratégie d’attaque méthodique, divisée en trois phases distinctes sur neuf mois :

  1. Phase de Reconnaissance (Mars - Avril 2025) : Les attaquants ont effectué des scans manuels pour cartographier les cibles potentielles.
  2. Phase de Probing Massif (Avril - Juin 2025) : Les attaques sont devenues quotidiennes, visant des applications web populaires comme WordPress, Drupal, Struts2, ainsi que des objets connectés (IoT) tels que les routeurs Wavlink.
  3. Phase d’Automatisation (Juillet - Décembre 2025) : La cadence est passée à l’heure. Le déploiement des payloads est devenu entièrement automatisé et à grande échelle.

Le mécanisme d’infection : compétition et survie

Une fois que le botnet identifie un serveur Next.js vulnérable, il procède au déploiement de plusieurs composants malveillants dans le répertoire /nuts/. L’objectif est triple : monétiser, infecter et dominer.

  • /nuts/poop : Un mineur de cryptomonnaie.
  • /nuts/x86 : Une variante du botnet Mirai (connu pour les attaques DDoS).
  • /nuts/bolts : Le module de “nettoyage” et de “santé” du botnet.

Le module “Bolts” : un nettoyeur agressif

C’est le composant le plus redoutable de RondoDox. Son rôle est d’assurer la pérennité de l’infection en éliminant toute concurrence. Il analyse continuellement le système (/proc) pour tuer les processus non autorisés toutes les 45 secondes.

En pratique, /nuts/bolts va :

  • Tuer les mineurs de cryptomonnaie concurrents.
  • Supprimer d’autres botnets (compétition entre groupes cyber).
  • Nettoyer les artefacts laissés par des campagnes précédentes (Docker, cron jobs).
  • Installer une persistance via /etc/crontab pour survivre aux redémarrages.

Citation d’expert : “Il scanne continuellement /proc pour énumérer les exécutables en cours d’exécution et tue les processus non whitelistés toutes les ~45 secondes, empêchant efficacement la réinfection par des acteurs concurrents.” (CloudSEK)

Tableau comparatif : Les impacts de l’attaque

ImpactDescriptionCriticité (1-5)
DDoSUtilisation du serveur pour des attaques par déni de service distribué.5
CryptojackingConsommation excessive de CPU pour le minage au profit des attaquants.3
PersistenceNettoyage agressif et réécriture des tâches planifiées (Cron).4
ExfiltrationRisque potentiel d’accès aux données sensibles via le shell distant.5

Comment se protéger contre RondoDox ?

Face à cette menace hybride (web + IoT), une approche défensive multicouche est indispensable. Voici les étapes prioritaires pour sécuriser vos infrastructures en 2025.

  1. Mettre à jour immédiatement : Appliquer le correctif de sécurité sur tous les serveurs utilisant Next.js ou React Server Components.
  2. Segmentation réseau : Isoler les objets connectés (IoT) dans des VLANs dédiés. Les vulnérabilités réseau comme CVE-2025-68615 dans Net-SNMP montrent l’importance de sécuriser les équipements. Si un routeur est compromis, il ne doit pas pouvoir atteindre le serveur web.
  3. Déploiement de WAF : Utiliser un pare-feu d’application web (Web Application Firewall) pour bloquer les requêtes malformées ciblant React2Shell.
  4. Surveillance des processus : Mettre en place des alertes sur l’exécution de processus suspects, notamment dans les répertoires /nuts/ ou les modifications de /etc/crontab. Les plateformes d’automatisation comme n8n (CVE-2025-68613) nécessitent également une attention particulière., notamment dans les répertoires /nuts/ ou les modifications de /etc/crontab.
  5. Blocage C2 : Mettre à jour les listes de blocage pour empêcher les communications avec les serveurs de commande et contrôle (C2) connus de RondoDox.

Mini-scénario : Le cas d’une PME française

Imaginons une boutique e-commerce parisienne hébergeant son site sur Next.js. En septembre 2025, l’équipe technique a repoussé la mise à jour “pour ne pas casser la production”.

  • Jour 1 : RondoDox scanne l’IP du serveur, détecte la faille CVE-2025-55182.
  • Jour 2 : Le payload /nuts/bolts est déployé. Il tue le processus de sauvegarde automatisé de la base de données, jugé suspect par le botnet.
  • Semaine suivante : Le serveur ralentit (crypto-minage). Le site devient inaccessible lors d’une attaque DDoS lancée depuis le propre serveur de la boutique.

Cet exemple illustre l’urgence de maintenir un cycle de vie sécurisé pour les dépendances logicielles.

Conclusion : La vigilance comme seul rempart

L’essor du botnet RondoDox et l’exploitation de la faille React2Shell démontrent une accélération dans la sophistication des attaques automatisées. Les cybercriminels ne se contentent plus d’attendre qu’une faille soit découverte ; ils l’intègrent dans un système quasi-industriel.

Pour les entreprises et les administrateurs système en France, le message est clair : la sécurité des serveurs Next.js et des objets connectés doit être une priorité absolue. La mise en place d’une surveillance active des processus et le respect strict des mises à jour de sécurité ne sont plus des options.

Action immédiate : Vérifiez la version de votre framework Next.js et auditez vos logs pour toute présence de fichiers ou processus suspects dans le répertoire /nuts/.