Une vulnérabilité critique capable de donner le contrôle d’un serveur à distance attire forcément les attaques automatisées. En décembre, le botnet RondoDox a commencé à exploiter React2Shell pour compromettre des serveurs web exposés et y déployer ses charges.
Depuis le printemps 2025, RondoDox enchaîne les campagnes à grande échelle en profitant d’un classique du genre : des failles corrigées sur le papier, mais des patchs qu’on traîne à appliquer. Selon CloudSEK, le botnet a fini par recentrer son activité sur React2Shell (CVE-2025-55182), une vulnérabilité critique qui permet l’exécution de code à distance sur des serveurs vulnérables, sans authentification. Une combinaison idéale pour passer du scan automatisé à la compromission, puis au déploiement industrialisé de charges malveillantes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
RondoDox et React2Shell : prendre pied et ne plus lâcher
Selon CloudSEK, RondoDox aurait commencé à scanner des serveurs Next.js susceptibles d’être vulnérables à React2Shell autour du 8 décembre, avant de déployer ses premières charges utiles quelques jours plus tard. L’activité se serait ensuite rapidement intensifiée, à raison d’une quarantaine de tentatives d’exploitation recensées en moins d’une semaine.
Pour comprendre pourquoi ces serveurs sont devenus des cibles privilégiées, il faut revenir sur ce qu’est Next.js. Pour la faire courte, il s’agit d’un framework de développement web basé sur React, très utilisé pour créer des sites et applications dynamiques modernes.
On rappellera ici que sur un site web statique, le serveur renvoie surtout des fichiers déjà prêts, et le navigateur se charge de les afficher. Avec Next.js, en revanche, une partie du traitement est réalisée côté serveur, qui ne se contente plus de renvoyer des fichiers déjà préparés, mais peut aussi générer des pages à la volée, exécuter des fonctions, traiter des formulaires, appeler des services internes ou dialoguer avec une base de données. Autrement dit, le serveur exécute du code, et si un attaquant parvient à y injecter le sien, il peut détourner le service ou l’application pour y déployer des malwares. Chose que permet l’exploitation de React2Shell, vulnérabilité critique d’exécution de code à distance dans l’écosystème React Server Components et les implémentations qui l’embarquent, dont Next.js.
Revenons à RondoDox. Une fois un serveur Next.js compromis, CloudSEK indique que le botnet déploie plusieurs composants, parmi lesquels un mineur de cryptomonnaies, destiné à exploiter les ressources de la machine pour générer des revenus immédiats, ainsi qu’un module plus structurel, baptisé bolts, qui agit comme un chef d’orchestre local. Objectifs : supprimer les malwares concurrents pour éviter qu’un autre botnet ne prenne sa place sur les hôtes infectés, assurer la persistance en relançant automatiquement ses différents composants malveillants, récupérer d’autres charges utiles depuis son infrastructure C2, et tuer toutes les 45 secondes les processus qui ne figurent pas sur sa liste blanche, ce qui peut aussi perturber certains outils de sécurité présents sur le serveur.
Une faille, des botnets, et une surface d’attaque hors norme
Que RondoDox s’empare de React2Shell n’a rien d’un hasard, ni d’un cas isolé. La vulnérabilité est traitée comme un sujet sensible depuis sa divulgation : elle a rapidement été exploitée par plusieurs acteurs, y compris des groupes décrits comme liés à des opérations nord-coréennes, et elle a alimenté une vague de compromissions opportunistes, essentiellement orientées vers le minage.
Cette pression a même débordé du terrain offensif. Le 5 décembre, Cloudflare a détaillé les causes d'une panne de 25 minutes sur une partie de son réseau, qui a touché environ 28 % du trafic HTTP servi. L’incident n’était pas lié à une attaque, mais à un enchaînement de décisions techniques prises dans l’urgence, justement pour renforcer la détection des tentatives d’exploitation liées à React2Shell.
On en profitera aussi pour rappeler que plus une faille est facile à industrialiser, plus elle nourrit des campagnes automatisées, qui grossissent vite et finissent par s’appuyer sur des infrastructures massives, botnets en tête. Une menace particulièrement rentable pour des cybercriminels qui n’ont qu’à puiser dans un parc immense d’équipements mal entretenus. L’actualité française l’a rappelé ces dernières semaines, avec des attaques par déni de service ayant perturbé les services en ligne de La Poste à plusieurs reprises entre fin décembre et début janvier.
Cette logique fonctionne d’autant mieux que la surface d’attaque est énorme. D’un côté, des applications web modernes exposées sur Internet, mises à jour avec plus ou moins de rigueur. De l’autre, un parc d’équipements IoT et réseau (routeurs, caméras, NAS, objets connectés) qui cumule firmwares obsolètes, interfaces d’administration exposées et identifiants par défaut facilement piratables. Dans son rapport, CloudSEK décrit d’ailleurs une campagne RondoDox structurée en plusieurs phases sur 2025, avec des vagues d’exploitation IoT sur plusieurs mois, avant l’accélération de décembre autour de Next.js. Une approche hybride dans laquelle l’IoT fournit le volume, tandis que les serveurs web apportent puissance et monétisation plus directe.
Côté applications web, le remède est surtout organisationnel. Appliquer les correctifs React2Shell et auditer les usages Next.js concernés dès lors que le service est exposé sur Internet. Côté objets connectés, même combat : mettre à jour les firmwares, désactiver l’administration distante quand elle n’est pas indispensable, remplacer les identifiants par défaut, et isoler ces équipements dans un réseau séparé dès que possible pour éviter de se retrouver enrôlé dans un botnet à son insu.
Source : CloudSEK
