Botnet RondoDox : Menace sur les Serveurs Next.js et Comment S'en Protéger

Un nombre effarant de 90 300 serveurs web vulnérables sont actuellement exposés à une faille critique, laissant la porte ouverte à des botnets automatisés. Depuis mars 2025, une opération soutenue vise activement les infrastructures IoT et les applications web pour intégrer les machines compromises dans le botnet RondoDox. Cette campagne agressive, qui a culminé à la fin de l’année 2025, exploite une vulnérabilité de sévérité maximale dans les technologies React Server Components (RSC) et Next.js. Si vous administrez des serveurs web ou gérez des parcs d’appareils connectés, comprendre le fonctionnement de cette menace est essentiel pour sécuriser vos actifs numériques.

La vulnérabilité React2Shell : une porte d’entrée critique (CVE-2025-55182)

Le vecteur d’attaque principal identifié par les chercheurs en cybersécurité est une faille désignée sous le nom de React2Shell (CVE-2025-55182). Cette vulnérabilité affecte les serveurs utilisant React Server Components et le framework Next.js, permettant à un attaquant non authentifié d’exécuter du code à distance (RCE) sur les appareils vulnérables, à l’instar d’autres failles critiques comme CVE-2025-14847 affectant MongoDB qui expose les bases de données à des fuites de mémoire. Avec un score CVSS de 10.0, le plus haut niveau de criticité, cette faille offre aux cybercriminels un accès direct et facilité aux systèmes cibles. Cette sévérité extrême rappelle celle d’autres vulnérabilités majeures, telles que la faille CVE-2025-14847 de MongoDB qui atteint un score CVSS de 8.7.

L’ampleur de l’exposition en France

Les statistiques recueillies par la fondation Shadowserver en date du 31 décembre 2025 révèlent une situation préoccupante. Sur les 90 300 instances vulnérables recensées mondialement, une grande partie est concentrée aux États-Unis (68 400). Cependant, la France n’est pas épargnée, avec 2 800 serveurs toujours exposés à cette menace. Ce chiffre souligne l’urgence pour les administrateurs système de vérifier et de corriger les configurations de leurs serveurs Next.js.

L’impact sur les appareils IoT

Au-delà des serveurs web classiques, RondoDox étend son emprise sur les objets connectés. Les appareils IoT sont souvent vulnérables à des attaques de type buffer overflow comme dans CVE-2025-68615 affectant Net-SNMP, ce qui en fait des cibles privilégiées pour les botnets. L’exploitation de React2Shell permet aux assaillants de détourner des routeurs et d’autres appareils IoT pour les intégrer au réseau de botnets. Une fois compromis, ces appareils deviennent des relais pour des attaques futures, tels que des dénis de service distribués (DDoS) ou le minage de cryptomonnaies.

L’évolution tactique du botnet RondoDox

Le groupe derrière RondoDox n’a pas improvisé son attaque. L’analyse des chercheurs a mis en lumière une stratégie d’escalade méthodique qui s’est déroulée sur trois phases distinctes tout au long de l’année 2025. Cette progression démontre une planification à long terme et une capacité d’adaptation inquiétante.

Phase 1 : Reconnaissance et cartographie (Mars - Avril 2025)

Au début de l’année, les opérateurs se sont contentés de scanner l’internet à la recherche d’appareils et de serveurs potentiellement vulnérables. Il s’agissait d’une phase de collecte d’informations pour identifier les cibles les plus prometteuses avant de lancer des attaques massives.

Phase 2 : Probing massif et tests (Avril - Juin 2025)

D’avril à juin, l’activité a augmenté en fréquence. Les attaquants ont lancé des scans quotidiens massifs visant des applications web populaires comme WordPress, Drupal et Struts2, ainsi que des équipements IoT spécifiques tels que les routeurs Wavlink. Cette phase visait à sonder les défenses et à identifier les failles exploitables.

Phase 3 : Automatisation à grande échelle (Juillet - Début Décembre 2025)

À partir de l’été, la cadence est devenue horaire. Les attaquants ont automatisé le déploiement de leurs payloads sur une grande échelle. C’est à ce moment que la vulnérabilité React2Shell a été intégrée à leur arsenal, permettant une infection quasi instantanée des serveurs Next.js non patchés.

Analyse technique des payloads RondoDox

Lors des attaques détectées en décembre 2025, la séquence d’infection est bien définie. Après avoir identifié un serveur Next.js vulnérable, les attaquants déploient une série de fichiers malveillants dans le répertoire “/nuts/”. Cette structure organisationnelle révèle une méthode de travail efficace et modulaire.

Le trio malveillant : Minage, Loader et Botnet

Les fichiers déposés sur les serveurs compromis remplissent des rôles spécifiques :

1. Le mineur de cryptomonnaie ("/nuts/poop") : Il consomme les ressources CPU de la machine hôte pour générer des profits financiers pour les attaquants, ralentissant considérablement les performances des services légitimes.
2. Le chargeur et vérificateur de santé ("/nuts/bolts") : C’est le composant le plus redoutable. Son rôle est de nettoyer le terrain.
3. Le botnet Mirai ("/nuts/x86") : C’est le payload final, une variante du célèbre botnet Mirai, qui donne aux attaquants le contrôle total de l’appareil.

La guerre des botnets : élimination de la concurrence

Le fichier “/nuts/bolts” est conçu pour assurer l’exclusivité de l’infection. Il analyse continuellement les processus en cours d’exécution en scannant le répertoire /proc. Toutes les 45 secondes environ, il tue les processus qui ne sont pas sur sa liste blanche, notamment les concurrents, les mineurs de cryptomonnaies rivaux et les artefacts de campagnes antérieures.

“Il tue les processus non autorisés toutes les 45 secondes, empêchant efficacement la réinfection par des acteurs concurrents.”

De plus, “/nuts/bolts” configure des tâches cron dans /etc/crontab pour s’assurer que le malware persiste même après un redémarrage du serveur, et supprime les fichiers de configuration Docker laissés par d’autres malwares.

Tableau comparatif des phases d’attaque

Liste d’actions correctives : comment sécuriser vos infrastructures

Face à cette menace évolutive, une réponse défensive robuste est indispensable. Les experts recommandent une approche en plusieurs couches pour mitiger les risques.

Les mesures immédiates à appliquer :

• Mettre à jour Next.js : Appliquez le correctif le plus récent pour la version 14.2.15 ou supérieure (Next.js 15.x) afin de colmater la faille CVE-2025-55182.
• Segmenter le réseau IoT : Isoler les objets connectés dans des VLANs dédiés pour limiter la propagation d’une infection.
• Déployer un WAF : Utiliser un pare-feu d’application web (Web Application Firewall) pour bloquer les requêtes malveillantes.
• Surveiller l’exécution des processus : Mettre en place des alertes sur l’exécution de fichiers inconnus ou de processus suspects (comme ceux dans “/nuts/”).
• Bloquer les infrastructures C2 : Filtrer le trafic réseau vers les adresses IP et domaines connus des serveurs de commande et contrôle (C2) de RondoDox.

Conclusion : La vigilance comme seul rempart

L’émergence du botnet RondoDox et l’exploitation de la faille React2Shell illustrent la vitesse à laquelle les cybercriminels adaptent leurs tactiques. En l’espace de quelques mois, ils sont passés de scans manuels à des attaques automatisées exploitant des failles critiques. La présence de milliers de serveurs vulnérables en France montre que le risque est bien réel et actif.

Pour les entreprises et les administrateurs, la leçon est claire : la gestion proactive des correctifs de sécurité est non négociable. Attendre qu’une faille soit exploitée massivement est déjà trop tard. En appliquant les mises à jour de sécurité dès leur publication et en segmentant rigoureusement les réseaux, vous transformez votre infrastructure d’une cible facile en une forteresse difficile à prendre pour les botnets modernes.