RondoDox botnet adalah sebuah jaringan komputer terinfeksi skala besar yang belakangan ini gencar mengeksploitasi celah keamanan kritis bernama React2Shell pada server Next.js. Secara umum, botnet ini bekerja dengan cara menyusup ke server yang rentan untuk menyebarkan malware dan alat penambang kripto tanpa izin, yang tentunya sangat merugikan performa infrastruktur digital kalian.
RondoDox pertama kali didokumentasikan oleh Fortinet pada Juli 2025 dan dikenal sebagai botnet yang sangat rajin mengincar celah n-day dalam serangan global. Teknisnya, botnet ini nggak cuma diam di satu tempat, tapi terus berkembang. Pada November lalu saja, ditemukan varian baru yang bisa mengeksploitasi CVE-2025-24893, yaitu celah remote code execution (RCE) pada platform XWiki. Jadi, cakupan serangannya memang seluas itu dan cukup mengkhawatirkan kalau kalian punya server yang belum di-patch.
Kalau kita bedah lebih dalam, ada satu celah yang jadi “primadona” mereka belakangan ini, yaitu React2Shell (CVE-2025-55182). Ini adalah kerentanan RCE tanpa otentikasi yang bisa dieksploitasi cuma lewat satu request HTTP doang. Celah ini menyerang semua framework yang mengimplementasikan protokol ‘Flight’ pada React Server Components (RSC), termasuk Next.js yang banyak kita pakai. Kuranglebihnya, ada sekitar 94.000 aset di internet yang terdeteksi masih rentan terhadap serangan ini.
Berdasarkan laporan dari CloudSEK, operasional RondoDox ini kayaknya punya jadwal yang terstruktur rapi sepanjang tahun 2025:
- Fase Rekognisi dan Testing: Dilakukan sekitar bulan Maret sampai April 2025 buat nyari target mana yang kira-kiranya bisa ditembus.
- Eksploitasi Web App Otomatis: Berlangsung dari April sampai Juni 2025 dengan fokus pada aplikasi berbasis web yang lemah.
- Deployment Massal IoT: Dimulai dari Juli sampai sekarang, di mana mereka mulai menyasar perangkat IoT besar-besaran buat memperluas jaringan botnet-nya.
Nah, pas mereka berhasil masuk ke server kalian, RondoDox bakal masang beberapa payload dengan nama yang cukup unik tapi mematikan, di antaranya:
- /nuts/poop: Ini adalah komponen coinminer. Isinya script buat nambang kripto yang bakal bikin CPU server kalian kerja rodi sampai panas.
- /nuts/bolts: Berfungsi sebagai botnet loader dan pengecek kesehatan sistem. Hebatnya (dalam artian buruk), komponen ini bakal menghapus malware botnet lain yang ada di server kalian supaya dia jadi satu-satunya penguasa di situ. Dia juga bakal bunuh proses yang nggak masuk whitelist setiap 45 detik sekali.
- /nuts/x86: Varian dari malware Mirai yang fokusnya menyerang perangkat router seperti Linksys atau Wavlink biar bisa dijadikan bot baru.
Rasanya memang ngeri kalau melihat betapa agresifnya botnet ini, apalagi mereka bisa melakukan gelombang eksploitasi IoT tiap jam. RondoDox nggak segan-segan memaksa persistensi serangan mereka lewat /etc/crontab biar tetap aktif meskipun server sempat di-restart.
Menghadapi ancaman kayak RondoDox ini, kayaknya nggak ada pilihan lain selain kita harus lebih proaktif menjaga “kandang” digital kita masing-masing. Langkah paling dasar yang harus segera dilakukan adalah melakukan audit dan melakukan patching pada Next.js Server Actions ke versi terbaru yang sudah aman dari React2Shell. Selain itu, sepertinya penting juga buat kalian mulai mengisolasi perangkat IoT ke dalam Virtual LAN (VLAN) yang terpisah, supaya kalau satu kena, nggak merembet ke seluruh jaringan kantor atau rumah. Selalu monitor proses yang berjalan di sistem, kalau ada yang aneh-aneh langsung sikat saja sebelum makin parah. Tetap waspada dan jangan sampai server kalian malah jadi “pabrik” kripto orang lain tanpa disadari. Terimakasih sudah membaca sampai selesai, rekan-rekanita, semoga informasi ini bermanfaat untuk keamanan sistem kalian.