RondoDox es una botnet IoT altamente modular que ha ganado notoriedad en 2025 por atacar routers, sistemas CCTV y servidores web, aprovechando más de 50 vulnerabilidades. Su capacidad para adaptarse y persistir representa un riesgo creciente para redes domésticas y empresariales.
Desde su detección a inicios de año, la botnet RondoDox ha llamado la atención de la comunidad de ciberseguridad al enfocarse en el IoT mediante la explotación automatizada de decenas de vulnerabilidades conocidas en equipos críticos. Su arquitectura modular y técnicas de persistence garantizan la supervivencia y escalado de infecciones en distintos entornos.
El motor de RondoDox, programado en Go, facilita la implantación multiplataforma y la reducción del tamaño binario. Tras un reconocimiento intensivo de red (sobre Telnet, SSH y HTTP/HTTPS), la botnet selecciona el exploit adecuado de una librería que incluye CVE-2021-20090 (router authentication bypass) y otros como CVE-2022-44149, CVE-2021-41773 o CVE-2014-6271. El acceso inicial permite la descarga de un agente persistente que se comunica cifradamente con C2 vía TLS, usando certificados personalizados para dificultar la inspección. Los módulos para DDoS y escaneo se cargan dinámicamente durante la infección.
La explotación de más de 50 vulnerabilidades en routers, DVRs, cámaras CCTV y servidores web expone datos privados, permite el control remoto y facilita redes de dispositivos zombies. Las infecciones generan riesgo crítico de participación en ataques DDoS masivos y en operaciones como proxies para otras campañas maliciosas. El uso de persistencia avanzada dificulta limpiar sistemas, incluso tras reinicios o actualización de firmware.
Se recomienda el despliegue inmediato de parches para todas las vulnerabilidades identificadas, especialmente aquellas marcadas por CVE recientes. Es vital segmentar la red, restringir interfaces de gestión expuestas y monitorear el tráfico inusual cifrado sobre TLS. Asimismo, reforzar credenciales en dispositivos IoT y deshabilitar servicios innecesarios limita la superficie de ataque.
La amenaza de RondoDox ilustra el impacto de no mantener una gestión proactiva de vulnerabilidades en el ecosistema IoT. La persistencia y automatización de esta botnet la convierten en un adversario serio: la combinación de parches, segmentación y vigilancia activa es crucial para reducir el riesgo.
