Das RondoDox-Botnet zeigt eine alarmierende Entwicklung: Innerhalb weniger Monate hat sich die Zahl der ausgenutzten Schwachstellen verdreifacht. Sicherheitsforschern von Bitsight zufolge setzte das Botnet im Oktober 2024 noch auf 56 Vulnerabilities — mittlerweile sind es 174 unterschiedliche Lücken, darunter auch Flaws ohne zugewiesene CVE-Nummer.
Am auffälligsten ist der strategische Wandel der Angreifer. Während das Botnet anfangs eine “Schrotflintentaktik” verfolgte und wahllos tausende Geräte mit verschiedensten Exploits bombardierte, konzentriert es sich nun gezielt auf Schwachstellen mit hoher Erfolgsquote. Diese Professionalisierung zeigt sich auch in der Geschwindigkeit: Die Botnet-Betreiber patroullieren offenbar kontinuierlich Sicherheitsdatenbanken und Vulnerability-Disclosures ab. In mindestens einem Fall schlugen sie nur zwei Tage vor der öffentlichen Bekanntmachung zu.
Eine bemerkenswerte Statistik verdeutlicht die Taktik: Von den 174 Schwachstellen wurden 84 (also 48 Prozent) nur für einen einzelnen Tag ausgenutzt. Dies deutet auf ein A/B-Testing-Verfahren hin — die Betreiber probieren Exploits aus und stoppen sie, wenn sie keinen Erfolg bringen. Im Durchschnitt bleibt eine Vulnerability 18 Tage auf der Exploitliste.
An einem einzelnen Tag wurden sogar 49 verschiedene Bugs eingesetzt, was die aggressive Expansionsstrategie unterstreicht. Die Aktivitätsspitze bei 15.000 Exploitierungsversuchen pro Tag zeigt die Dimension dieser Bedrohung.
RondoDox teilt zahlreiche Ähnlichkeiten mit dem legendären Mirai-Botnet, unterscheidet sich aber in einem Punkt grundlegend: Während Mirai primär weitere Geräte infiziert, spezialisiert sich RondoDox auf verteilte Denial-of-Service-Attacken (DDoS). Zur initialen Kompromittierung nutzt das Botnet schwache Anmeldedaten und unsanitierte Eingabefelder.
Die Infrastruktur ist dezentralisiert: Betreiber nutzen über zwei Dutzend IP-Adressen für Exploitation, Payload-Verbreitung und Bot-Management — darunter auch Wohngebiet-IPs von vermutlich bereits kompromittierten Systemen. Das Botnet scannt eigenständig das Internet nach verwundbaren Geräten, deployt Implants, die Erkennung umgehen, und bereinigt konkurrierende Malware.
Trotz ihrer operativen Effizienz zeigen die Betreiber Schwächen: Bitsight beobachtete fehlerhafte Exploit-Implementierungen bei neu entdeckten Vulnerabilities. Auch nutzt RondoDox kein Loader-as-a-Service-Modell und die früher gemeldete P2P-Funktionalität konnte nicht bestätigt werden.
Für Organisationen bedeutet dies: Regelmäßiges Patchen wird zum kritischen Defensiv-Faktor, und Monitoring auf unerwartete Aktivitäten ist essentiell.