Botnet RondoDox : Comment la faille React2Shell met en péril les serveurs IoT et web en 2025
Aurélien Fontevive
Une campagne de cyberattaque persistante dure depuis neuf mois, visant des milliers de serveurs à travers le monde. Selon les dernières données de sécurité, plus de 90 000 instances seraient encore exposées à une vulnérabilité critique, transformant des infrastructures légitimes en armes de cybercriminalité.
Le botnet RondoDox, apparue au début de l’année 2025, a récemment intensifié ses opérations en exploitant une faille majeure dans les technologies React. Cet article analyse en détail le fonctionnement de cette menace, ses phases d’attaque et les mesures indispensables pour sécuriser vos systèmes.
La faille critique React2Shell (CVE-2025-55182)
Comprendre l’architecture vulnérable
La menace actuelle repose sur une faille nommée React2Shell, identifiée par la référence CVE-2025-55182. Avec un score CVSS de 10.0, cette vulnérabilité est classée comme critique. Elle affecte les React Server Components (RSC) et le framework Next.js, extrêmement populaires pour le développement d’applications web modernes.
Concrètement, cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code à distance (RCE - Remote Code Execution) sur les serveurs vulnérables. Il ne s’agit pas d’une simple erreur de configuration, mais d’une faille fondamentale dans le traitement des requêtes serveur, permettant de contourner les mécanismes de sécurité habituels. D’autres vulnérabilités critiques comme CVE-2025-14847 affectant MongoDB ont également été exploitées pour fuiter des secrets de bases de données.
L’ampleur de l’exposition en France
Les statistiques relevées par la fondation Shadowserver à la fin décembre 2025 sont alarmantes. Sur les 90 300 instances vulnérables recensées mondialement, une grande partie est concentrée aux États-Unis (68 400). Cependant, l’Europe et la France sont loin d’être épargnées.
La France compte à elle seule 2 800 serveurs toujours exposés à cette faille. Pour une entreprise, la compromission d’un seul de ces serveurs peut suffire à déclencher une infection en chaîne, menant à la perte de données sensibles ou à une utilisation de l’infrastructure pour des attaques par déni de service.
L’évolution stratégique du botnet RondoDox
Une campagne structurée en trois phases
L’analyse des attaques révèle une organisation méthodique de la part des opérateurs de RondoDox. Depuis mars 2025, la stratégie a évolué en trois phases distinctes :
- Mars - Avril 2025 : Reconnaissance initiale. Les attaquants ont effectué des scans manuels pour cartographier les cibles potentielles.
- Avril - Juin 2025 : Probing massif. Le rythme a été accru pour scanner quotidiennement des applications web comme WordPress, Drupal, et Struts2, ainsi que des appareils IoT tels que les routeurs Wavlink et autres équipements vulnérables comme ceux exposés à CVE-2025-68615 sur Net-SNMP.
- Juillet - Début Décembre 2025 : Automatisation à grande échelle. Les attaques sont devenues horaires et automatisées, permettant une infection massive et rapide.
Cette progression démontre une augmentation de la capacité opérationnelle du groupe, passant d’une simple surveillance à une domination agressive des réseaux.
L’arsenal technique de l’attaque
Une fois la faille React2Shell exploitée pour obtenir un accès initial, RondoDox déploie une suite de malwares sophistiqués. Les fichiers sont placés dans un répertoire caché nommé /nuts/, contenant plusieurs composants :
/nuts/poop: Un mineur de cryptomonnaie./nuts/bolts: Un chargeur de botnet et un vérificateur de santé du système./nuts/x86: Une variante du botnet Mirai.
Le fichier /nuts/bolts est particulièrement dangereux car il agit comme un “tueur de processus”. Il scanne continuellement le répertoire /proc pour tuer tout processus non autorisé toutes les 45 secondes. Cette technique empêche non seulement d’autres cybercriminels d’utiliser la machine infectée, mais rend aussi la détection par les administrateurs système beaucoup plus difficile.
Comment se protéger contre RondoDox ?
Analyse comparative des vecteurs d’attaque
Pour mieux comprendre les priorités de défense, il est utile de comparer les vulnérabilités récentes utilisées par ce botnet. RondoDox ne se limite pas à React2Shell ; il intègre également des failles plus anciennes mais toujours actives.
| Vecteur de vulnérabilité | Type de cible | Niveau de risque | Action recommandée |
|---|---|---|---|
| React2Shell (CVE-2025-55182) | Serveurs Next.js / React | Critique (CVSS 10.0) | Mise à jour immédiate du framework |
| CVE-2023-1389 | Routeurs (ex: TP-Link) | Haut | Vérifier les firmwares |
| CVE-2025-24893 | Appareils IoT divers | Moyen à Haut | Segmentation réseau |
| CVE-2025-14847 (MongoDB) | Bases de données MongoDB | Critique | Mise à jour immédiate |
Mesures de mitigation prioritaires
Face à cette menace hybride, une simple mise à jour ne suffit pas toujours. Il faut adopter une approche de défense en profondeur. Voici les étapes critiques à mettre en œuvre :
- Patcher immédiatement les serveurs Next.js : Assurez-vous que toutes les instances utilisent une version corrigée de React Server Components.
- Segmentation réseau (VLAN) : Isoler les appareils IoT du reste du réseau d’entreprise est essentiel. Si un routeur est compromis, il ne doit pas pouvoir accéder aux serveurs critiques.
- Déploiement de WAF (Web Application Firewall) : Un WAF peut bloquer les requêtes malformées tentant d’exploiter la faille React2Shell avant même qu’elles n’atteignent l’application.
- Surveillance des processus : Surveiller l’exécution de fichiers suspects dans des répertoires non standards comme
/nuts/ou les modifications de/etc/crontab.
“Le botnet RondoDox utilise une technique de purge agressive pour éliminer toute compétition sur la machine infectée. C’est un signe de la professionnalisation des attaques automatisées.” - Rapport d’analyse CloudSEK.
Encadré : Commandes de détection (Exemple)
Les administrateurs peuvent vérifier la présence de cron jobs malveillants, souvent utilisés par RondoDox pour maintenir la persistance.
# Vérifier les tâches planifiées actives
cat /etc/crontab
# Rechercher des processus inconnus ou des fichiers dans /nuts
ls -la /nuts/
ps aux | grep -i nuts
Si vous détectez l’un de ces éléments, votre serveur est probablement déjà compromis.
Cas pratique : L’impact sur les infrastructures françaises
Prenons l’exemple d’une agence de développement web utilisant Next.js pour héberger les sites de ses clients. En juillet 2025, une telle structure aurait pu être ciblée par le scanning horaire de RondoDox.
Si le serveur de développement n’avait pas été mis à jour immédiatement après la publication de la CVE, les attaquants auraient pu injecter le chargeur /nuts/bolts. En quelques minutes, le serveur aurait commencé à miner de la cryptomonnaie, ralentissant les sites des clients. Pire, le serveur aurait été ajouté à la liste de bots pour lancer des attaques DDoS contre d’autres entreprises françaises, exposant l’agence à des poursuites légales.
Ce scénario illustre l’importance de la cyberhygiène : la réactivité face aux avis de sécurité est le seul rempart efficace contre des botnets aussi agressifs.
Synthèse et prochaines étapes
L’émergence du botnet RondoDox et son exploitation de la faille React2Shell rappelle une réalité immuable de la cybersécurité : la vitesse d’action est déterminante. En septembre 2025, cette menace a démontré qu’elle pouvait passer de la phase de scan manuel à une infection automatisée en quelques mois seulement.
Pour rester protégé en 2025 et 2026, les entreprises doivent :
- Actualiser leurs connaissances sur les failles CVSS 10.0.
- Auditer leurs infrastructures pour identifier les serveurs exposés.
- Renforcer la surveillance des processus système.
La sécurité n’est pas un état, mais un processus continu. La première étape reste de vérifier l’état de mise à jour de vos serveurs Next.js dès aujourd’hui.