RondoDox Botnet Gunakan 174 Eksploit dan Infrastruktur IP Residensial untuk Serangan Skala Besar

>

>

>Sebuah botnet baru bernama RondoDox dilaporkan berkembang pesat dan menjadi salah satu ancaman keamanan siber diwaspadai. Botnet ini diketahui memanfaatkan ratusan kerentanan perangkat lunak serta infrastruktur jaringan berbasis IP untuk melancarkan serangan dalam skala besar.

>Bitsight pertama kali mendeteksi aktivitas botnet tersebut pada Mei 2025 setelah melihat lonjakan trafik mencurigakan pada sistem honeypot mereka. Seiring berjalannya waktu, aktivitas botnet ini terus meningkat hingga mampu menghasilkan sekitar 15.000 upaya eksploitasi dalam satu hari.

>Memanfaatkan Banyak Kerentanan

>Menemukan bahwa dari total 174 eksploit yang digunakan oleh botnet tersebut:

• >148 eksploit> berkaitan dengan kerentanan yang sudah memiliki ID dalam katalog Common Vulnerabilities and Exposures (CVE)
• >15 eksploit> memiliki proof-of-concept publik tetapi belum memiliki nomor CVE
• >11 eksploit lainnya> bahkan belum memiliki proof-of-concept yang tersedia secara publik

>Botnet tersebut secara aktif memantau pengungkapan kerentanan baru. Dalam beberapa kasus, eksploit mulai digunakan hanya beberapa hari setelah kerentanan tersebut dipublikasikan.

>Salah satu contohnya adalah eksploit terhadap CVE-2025-55182 atau dikenal sebagai React2Shell. Kerentanan ini diumumkan pada 3 Desember 2025 dan sudah dimasukkan ke dalam arsenal botnet hanya tiga hari kemudian.

> 

>Perubahan Strategi Serangan

>Pada awal operasinya, operator RondoDox menggunakan metode yang oleh peneliti disebut sebagai “shotgun approach.” Metode ini mengirimkan banyak eksploit berbeda secara bersamaan ke satu target dengan harapan salah satunya berhasil menembus sistem.

>Pendekatan tersebut mencapai puncaknya pada 19 Oktober 2025, ketika botnet menggunakan 49 kerentanan berbeda dalam satu hari.

>Namun, pola ini berubah pada awal 2026. Pada Januari, jumlah kerentanan yang digunakan dalam satu hari menurun drastis hingga hanya dua eksploit aktif. Hal ini menunjukkan kemungkinan perubahan strategi, dari serangan massal menjadi lebih fokus pada target tertentu yang dianggap bernilai tinggi.

>Infrastruktur Botnet Berbasis IP Residensial

>Salah satu temuan menarik dari penelitian ini adalah penggunaan alamat IP residensial yang telah disusupi untuk mendukung infrastruktur botnet.

>Peneliti melacak 32 alamat IP yang digunakan selama periode pengamatan, dengan pembagian:

• >16 IP untuk aktivitas eksploitasi>
• >16 IP untuk hosting payload malware>

>Alamat IP yang digunakan untuk eksploitasi umumnya berasal dari layanan hosting yang menerima pembayaran menggunakan mata uang kripto. Sementara itu, IP untuk hosting malware banyak berasal dari jaringan internet rumah tangga di beberapa negara, seperti Amerika Serikat, Kanada, Swedia, China, dan Tunisia.

>Analisis lebih lanjut menunjukkan beberapa perangkat rumah tangga yang kemungkinan telah disusupi, termasuk sistem UniFi Protect, perangkat smart home Control4, serta server web pada TCL Android TV.

>Temuan ini mengindikasikan bahwa perangkat-perangkat tersebut mungkin telah diretas dan dimanfaatkan tanpa sepengetahuan pemiliknya untuk menjadi bagian dari infrastruktur botnet.

> 

>Langkah Mitigasi

>Untuk mengurangi risiko dari aktivitas botnet seperti RondoDox, organisasi dan pengguna disarankan untuk:

• >memperbarui patch keamanan pada perangkat yang terhubung ke internet secara rutin
• >menonaktifkan layanan akses jarak jauh yang tidak digunakan
• >memantau trafik jaringan untuk mendeteksi aktivitas mencurigakan
• >menggunakan indikator kompromi (IoC) yang dipublikasikan oleh peneliti keamanan

>Langkah-langkah tersebut dapat membantu mencegah perangkat menjadi target eksploitasi maupun dimanfaatkan sebagai bagian dari jaringan botnet.

>Sumber: https://cybersecuritynews.com/rondodox-botnet-expands/