RondoDox emplea una estrategia de «shotgun exploit» (ataque de escopeta), usando un arsenal de exploits para tomar control de dispositivos mediante vulnerabilidades conocidas como CVE-2023-1389 (TP-Link Archer routers) y otras específicas de marcas como D-Link, Linksys, Netgear y Apache. El malware se propaga a través de servicios «loader-as-a-service», mezclando cargas útiles de Mirai y Morte, y logra infectar routers, NVR/DVR y otros endpoints gracias a credenciales débiles, entradas insanas y explotando viejos fallos.
Las consecuencias son severas: RondoDox crea gigantescas redes de bots capaces de realizar potentes ataques DDoS —HTTP, UDP, TCP— y propaga campañas de intrusión automatizada a nivel global. Esto pone en peligro la disponibilidad de servicios y la privacidad de los datos, con ejemplos como la botnet AISURU, responsable de algunos de los mayores ataques DDoS recientes y capaz de operar con hasta 300.000 hosts comprometidos.
La mejor defensa radica en actualizar firmware y parches de todos los dispositivos conectados, deshabilitar servicios expuestos innecesarios y establecer contraseñas robustas. También es fundamental segmentar la red y monitorizar accesos inusuales en dispositivos de borde. Si se detecta tráfico anómalo o dispositivos comprometidos, se recomienda aislarlos de inmediato y restaurar a valores de fábrica, seguidos de una actualización de seguridad antes de la reconexión.
