Botnet RondoDox : Comment la faille React2Shell compromet les serveurs Next.js en 2025

Alors que le nombre d’appareils connectés explose, une faille critique découverte fin 2025 ouvre la porte à des attaques massives. Selon les dernières données, plus de 90 000 serveurs seraient exposés à travers le monde, dont près de 3 000 en France. Le botnet RondoDox profite de cette brèche pour recruter des serveurs web et des objets connectés.

Cet article fait le point sur l’évolution de cette menace, les mécanismes d’infection et les actions concrètes à mener pour sécuriser votre infrastructure face à l’exploitation de la faille React2Shell.

Comprendre la menace RondoDox et la faille CVE-2025-55182

Le botnet RondoDox, apparu début 2025, a rapidement évolué d’une menace ciblant des équipements IoT basiques vers une opération sophistiquée capable de compromettre des serveurs web d’entreprise. Son vecteur d’attaque privilégié est désormais une vulnérabilité critique identifiée comme CVE-2025-55182. Cette campagne s’inscrit dans un contexte plus large de menaces sur les infrastructures, incluant la vulnérabilité CVE-2025-68615 dans Net-SNMP qui affecte les équipements réseau.

Cette faille, qualifiée de React2Shell, affecte les architectures utilisant les React Server Components (RSC) et le framework Next.js. Elle permet à un attaquant non authentifié d’exécuter du code à distance (RCE) sur les serveurs vulnérables. Cette vulnérabilité s’ajoute à d’autres flaws critiques comme la faille CVE-2025-14847 affectant MongoDB qui exposent des données sensibles via des mécanismes d’exploitation similaires. Avec un score CVSS de 10.0 (le plus haut niveau de sévérité), elle représente un danger immédiat pour tout système non corrigé.

L’ampleur de l’exposition mondiale

Les statistiques de la Shadowserver Foundation sont alarmantes. Au 31 décembre 2025, environ 90 300 instances restent vulnérables. La répartition géographique met en évidence une concentration aux États-Unis (68 400), mais l’Europe et la France ne sont pas épargnées.

Voici la répartition des instances vulnérables les plus touchées :

• États-Unis : 68 400 instances
• Allemagne : 4 300 instances
• France : 2 800 instances
• Inde : 1 500 instances

Cette exposition massive offre aux opérateurs de RondoDox un vivier de cibles potentielles immense, qu’ils exploitent via une campagne automatisée et persistante.

L’évolution tactique du botnet : d’une scan manuel à l’automatisation

L’analyse des campagnes de RondoDox révèle une montée en puissance méthodique sur neuf mois. Les chercheurs ont identifié trois phases distinctes avant l’exploitation actuelle de React2Shell :

1. Mars - Avril 2025 (Reconnaissance) : Phase initiale de scan manuel et de repérage des vulnérabilités sur des cibles spécifiques.
2. Avril - Juin 2025 (Probing massif) : Les attaquants passent à des scans quotidiens en masse. Ils ciblent des applications web populaires comme WordPress, Drupal et Struts2, ainsi que des routeurs IoT de type Wavlink.
3. Juillet - Début Décembre 2025 (Automatisation horaire) : Le botnet atteint une maturité opérationnelle avec des déploiements automatisés à grande échelle, préparant le terrain pour l’exploitation de la faille React2Shell. Il convient également de noter que les outils d’automatisation eux-mêmes peuvent présenter des risques, comme le montre la vulnérabilité CVE-2025-68613 dans n8n permettant une exécution de code arbitraire.

Cette progression démontre une organisation structurée capable d’adapter ses outils pour maximiser son taux d’infection.

Analyse technique du cycle d’infection

Une fois qu’un serveur Next.js vulnérable est identifié, RondoDox déploie une suite de payloads malveillants dans le répertoire /nuts. Cette structure de fichiers est caractéristique de cette campagne.

Le trio de malwares déployés

Les attaquants tentent de déposer trois éléments principaux sur la machine compromise :

• /nuts/poop : Un mineur de cryptomonnaie, conçu pour générer des revenus immédiats pour les opérateurs du botnet.
• /nuts/bolts : Un chargeur (loader) et un vérificateur de santé. C’est le composant le plus redoutable car il assure la pérennité de l’infection.
• /nuts/x86 : Une variante du botnet Mirai, célèbre pour ses capacités de déni de service (DDoS).

Le rôle de “/nuts/bolts” : la guerre des botnets

Le fichier /nuts/bolts illustre parfaitement la sophistication des attaques modernes. Son rôle est double :

1. Nettoyage : Il analyse le système pour tuer les processus non autorisés, y compris les mineurs de cryptomonnaie concurrents et d’autres botnets. Il supprime également les artefacts de campagnes précédentes et les tâches cron associées.
2. Persistance : Il réécrit /etc/crontab pour garantir que le malware se relance en cas de redémarrage.

CloudSEK note que ce processus scanne le répertoire /proc toutes les 45 secondes pour tuer tout processus non whitelisté, empêchant ainsi la réinfection par des acteurs rivaux.

Comparaison des vecteurs d’attaque ciblés par RondoDox

Pour mieux comprendre la stratégie de l’attaquant, voici un tableau comparatif des vulnérabilités récentes utilisées dans son arsenal :

Cette combinaison de vulnérabilités N-day (connues mais non corrigées) permet au botnet de frapper sur plusieurs fronts simultanément.

Mesures de mitigation et bonnes pratiques

Face à une menace aussi polyvalente, une réponse défensive multilayer est indispensable. Il ne suffit pas de corriger la faille React2Shell ; il faut durcir l’ensemble de l’environnement.

1. Mise à jour et correctifs

La priorité absolue est de mettre à jour Next.js vers une version patchée. Tout retard dans l’application des correctifs expose l’infrastructure à une compromission quasi instantanée.

2. Segmentation réseau et cloisonnement

Les appareils IoT vulnérables ne doivent jamais être sur le même réseau que les serveurs critiques. Il est impératif de :

• Segmenter les IoT dans des VLANs dédiés.
• Limiter les communications entre les VLANs via des règles de pare-feu strictes.

3. Déploiement de pare-feu applicatifs (WAF)

Un Web Application Firewall (WAF) peut bloquer les tentatives d’exploitation de la faille React2Shell avant même qu’elles n’atteignent le serveur applicatif. Les signatures de menaces doivent être mises à jour régulièrement pour détecter les patterns de scan de RondoDox.

4. Surveillance active des processus

Compte tenu du mécanisme de nettoyage de /nuts/bolts, une surveillance comportementale est cruciale. Il faut :

• Surveiller l’exécution de processus suspects, surtout dans /proc.
• Configurer des alertes sur les modifications de /etc/crontab.
• Bloquer les adresses IP et les domaines des serveurs de commande et de contrôle (C2) connus dès leur identification.

Note de l’expert : “L’exploitation de la faille React2Shell par RondoDox marque une étape importante. Ce n’est plus seulement une question de sécuriser les objets connectés, mais de sécuriser l’architecture web moderne. La rapidité de déploiement des correctifs est le seul facteur qui différencie une entreprise compromise d’une entreprise sûre.”

Conclusion et prochaines étapes

L’essor du botnet RondoDox et son utilisation de la faille CVE-2025-55182 confirment que les attaquants capitalisent sur la moindre erreur de configuration ou de mise à jour. Avec près de 3 000 serveurs français exposés, la vigilance doit être maximale.

La complexité croissante des menaces, capables de s’autonettoyer et de tuer les concurrents, impose une hygiène de sécurité irréprochable. La mise à jour immédiate des serveurs Next.js est la première étape, mais elle doit être couplée à une stratégie de défense en profondeur incluant segmentation et surveillance.

Prochaine action recommandée : Vérifiez immédiatement la version de votre framework Next.js et auditez vos logs pour repérer toute activité suspecte liée au répertoire /nuts ou à des processus inconnus consommant beaucoup de ressources CPU.