RondoDox wurde erstmals in der zweiten Jahreshälfte des Vorjahres dokumentiert und ist nach Angaben von Bitsight mindestens seit März 2025 aktiv. Damals beobachteten Sicherheitsforscher die ersten dem Botnet zugeschriebenen Ausnutzungsversuche. Seit April 2025 läuft systematisches Schwachstellen-Scanning, das zunächst überwiegend nach dem Schrotflinten-Prinzip erfolgte.

Im Oktober nahm das Botnet 56 Schwachstellen ins Visier, darunter auch Lücken ohne zugewiesene CVE-Nummer. Im Dezember wurde es bei Angriffen auf React2Shell beobachtet. Inzwischen umfasst die Exploit-Liste laut Bitsight 174 verschiedene Schwachstellen, da die Entwickler die Veröffentlichungen zu neuen Lücken eng verfolgen und Fehler teils vor der Vergabe einer CVE-Nummer angreifen.

Parallel dazu hat sich die Vorgehensweise geändert. Statt mehrere Exploits gleichzeitig gegen dasselbe Gerät zu richten, konzentrieren sich die Betreiber nun auf einzelne Schwachstellen, die mit höherer Wahrscheinlichkeit zu einer Infektion führen.

RondoDox teilt zahlreiche Gemeinsamkeiten mit Mirai und ist ebenfalls dafür bekannt, schwache Zugangsdaten und ungeprüfte Eingaben für den Erstzugriff auszunutzen. Anders als Mirai zielt es jedoch nicht darauf ab, weitere Geräte zu scannen und zu infizieren, sondern auf die Durchführung von verteilten Denial-of-Service-Angriffen (DDoS).

Zum Ausbau des Botnets durchsuchen die Betreiber das Internet über eigene Infrastruktur nach verwundbaren Geräten. Anschließend setzen sie Implantate ab, die der Erkennung entgehen, andere Malware entfernen, ein geeignetes Verzeichnis für die Hauptdatei suchen und diese ausführen. Bitsight stieß bei der Untersuchung auf mehr als zwei Dutzend IP-Adressen, die zur Ausnutzung von Geräten, zur Verteilung von Schadcode und zur Bot-Verwaltung dienen, darunter auch Privatanschlüsse, die vermutlich zu kompromittierten Systemen gehören.

Die Betreiber fügen ihrer Exploit-Liste laufend Schwachstellen hinzu und entfernen andere wieder; an einem einzigen Tag wurden bis zu 49 Lücken eingesetzt, die meisten davon jedoch sofort wieder verworfen. Bitsight verweist auf einen deutlichen Long-Tail-Effekt: Während eine Schwachstelle im Schnitt 18 Tage lang genutzt wurde, kamen nahezu die Hälfte der 174 erfassten Lücken (84, also 48 Prozent) nur an einem einzigen Tag zum Einsatz. Das deute darauf hin, dass die Betreiber Schwachstellen ausprobieren und je nach Erfolgsquote weiterverwenden, so das Unternehmen.

In mindestens einem Fall nutzten die Angreifer eine Schwachstelle zwei Tage vor ihrer öffentlichen Bekanntgabe aus. Obwohl die Betreiber bei neuen Lücken auf dem aktuellen Stand bleiben, gelingt es ihnen laut Bitsight nicht, die verfügbaren Exploits sauber umzusetzen. Das Botnet setzt demnach keinen Loader-as-a-Service zur Verbreitung ein; frühere Berichte über eine P2P-Funktionalität in RondoDox erscheinen dem Unternehmen zufolge nicht zutreffend.