RondoDox僵尸网络武器库升级：漏洞利用能力激增650%

这一技术演进标志着僵尸网络开发策略发生了根本性转型，弥合了机会型物联网攻击与针对性企业入侵之间的技术鸿沟。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

RondoDox僵尸网络近期推出重大升级版本，其漏洞利用能力激增650%，这一变化标志着针对企业和物联网基础设施的威胁态势正在显著升级。

FortiGuard实验室在2024年9月首次记录到的原始RondoDox变种仅针对DVR系统，且仅具备两种漏洞利用途径。而最新发现的RondoDox v2则展现出惊人扩张能力，拥有超过75种不同的漏洞利用方式，攻击目标涵盖从老旧路由器到现代企业应用的各类设备。

此次升级代表了僵尸网络运营策略的根本转变，有效衔接了针对物联网设备的随机攻击与企业网络的定向入侵。2025年10月30日，研究人员通过蜜罐遥测技术检测到该恶意软件，当时研究基础设施开始接收到来自新西兰IP地址124.198.131.83的自动化漏洞利用尝试。

攻击特征与技术分析

该攻击模式凭借其规模和复杂程度立即引起关注，攻击者在短时间内连续部署了75种不同的漏洞利用载荷。所有载荷均尝试针对路由器和IoT设备漏洞实施命令注入攻击，并从位于74.194.191.52的命令与控制服务器下载恶意脚本。

值得注意的是，威胁行为者一反僵尸网络运营者惯用的匿名操作策略，直接在User-Agent字符串中嵌入了公开归属签名——bang2013@atomicmail.io。Beelzebub分析师通过其原生AI欺骗平台识别出该恶意软件，该平台完整捕获了攻击链，使研究人员能够全面分析该僵尸网络的技术能力。

RondoDox v2的攻击目标覆盖多个厂商生态系统中存在漏洞的设备，涉及十余年来的CVE漏洞历史记录。其武器库包含多个关键漏洞，包括：

该恶意软件展现出跨平台灵活性，部署了16种针对特定架构的二进制文件，包括x86_64、多种ARM变体、MIPS、PowerPC，甚至包括m68k和SPARC等老旧架构。这种全面的架构支持确保了其在各类嵌入式系统和企业服务器上的最大感染潜力。

命令与控制基础设施运行在分布于多个ASN的被入侵住宅IP地址上，提供了传统拦截策略难以应对的韧性和规避能力。

技术基础设施与混淆机制

RondoDox v2使用的投放脚本展示了精密的规避和持久化技术，旨在绕过安全控制并清除竞争性恶意软件。执行后，脚本立即使用setenforce 0和service apparmor stop等命令禁用SELinux和AppArmor安全框架，为恶意活动创造有利环境。

随后脚本会进行激进的竞争者清除操作，系统性终止与xmrig等加密货币挖矿程序以及redtail等其他已知僵尸网络家族相关的进程。这种行为确保了在被感染系统上的资源独占，同时通过消除嘈杂的竞争性恶意软件降低了检测概率。

二进制载荷本身采用基于XOR的字符串混淆技术（密钥值为0x21），以隐藏静态分析工具可能发现的关键配置数据。解码后的字符串揭示了命令与控制协议的实现细节，包括用于C2初始化的"handshake"和表明DDoS能力的"udpraw"。

该恶意软件展现出反分析意识，会检查退出代码137——这是自动化沙箱环境常用的SIGKILL终止信号。检测到该条件会导致脚本立即终止，有效规避许多自动化恶意软件分析系统。

#!/bin/sh# bang2013@atomicmail.ioexec > /dev/null 2>&1[ -t 0 ] && exit 0for p in /proc/[0-9]*; do pid=${p##*/}; [ ! -e "$p/exe" ] && kill -9 $pid 2>/dev/null; donesetenforce 0service apparmor stopmount -o remount,rw /||sudo mount -o remount,rw /

持久化机制利用基于cron的调度和@reboot指令，确保系统重启后自动执行。恶意软件尝试在多个文件系统位置安装自身，包括/tmp/lib/rondo、/dev/shm/lib/rondo和/var/tmp/lib/rondo，显示出对不同系统配置和权限结构的了解。

网络通信通过TCP端口345进行，使用自定义二进制协议，首先向位于74.194.191.52的C2服务器发送"handshake"消息。恶意软件会伪造User-Agent字符串，伪装成合法的iPhone iOS 18.5设备，进一步在企业环境中隐藏恶意流量。

DDoS能力包括：