Netcrook Logo
👤 KERNELWATCHER
🗓️ 17 Mar 2026  

Botnet Blitz: l’ascesa spietata di RondoDox e la battaglia per gli IP residenziali

Una nuova razza di botnet, RondoDox, arma una gamma da record di exploit e reti domestiche dirottate per lanciare attacchi incessanti.

È iniziato in sordina, con un picco di strano traffico di rete rilevato dagli honeypot di cybersecurity. Entro la metà del 2025, il sottobosco digitale era in fermento: era arrivata una nuova botnet, battezzata RondoDox - e stava riscrivendo le regole del cybercrimine. Con un arsenale di 174 exploit e un appetito vorace per gli indirizzi IP residenziali, la campagna di RondoDox segna una gelida evoluzione nella corsa globale agli armamenti tra botnet.

Dentro l’operazione RondoDox

Man mano che il numero di dispositivi connessi a internet schizza verso l’alto - 16,6 miliardi nel 2023 e previsto oltre 41 miliardi entro il 2030 - la superficie d’attacco per i cybercriminali cresce in modo esponenziale. RondoDox sfrutta questo scenario con spietata efficienza. Il suo processo di infezione inizia con una scansione di massa alla ricerca di dispositivi vulnerabili all’esecuzione di codice da remoto (RCE). Una volta individuato un bersaglio, il malware avvia un attacco furtivo in memoria: uno script di shell che elude la forensica su disco, rimuove malware rivali e recupera il binario giusto per l’hardware della vittima.

A differenza del suo famigerato predecessore, Mirai, che usava i dispositivi infetti per scansionare e infettarne altri, RondoDox è concentrata in modo esclusivo sullo scatenare attacchi di distributed denial-of-service (DDoS). I suoi operatori hanno inizialmente adottato un “approccio a fucilate”, sparando dozzine di exploit contro ogni bersaglio - testando 174 vulnerabilità in appena nove mesi. Quasi la metà di queste è stata scartata dopo un solo giorno, mentre gli attaccanti affinavano ciò che funzionava meglio. All’inizio del 2026, il manuale operativo della botnet si era ristretto a soli due exploit altamente efficaci, incluso il famigerato bug React2Shell (CVE-2025-55182), trasformato in arma a pochi giorni dalla sua divulgazione pubblica.

L’infrastruttura della botnet è estesa, ma non così sofisticata come suggeriscono le voci. I sussurri del settore su un backend Loader-as-a-Service o su una rete P2P decentralizzata si sono rivelati infondati; il presunto backend non era altro che un log di testo pubblico dei tentativi di infezione, e i “nodi P2P” erano semplicemente connessioni internet domestiche compromesse che distribuivano silenziosamente payload malevoli.

Nonostante la loro velocità e adattabilità, gli operatori di RondoDox non sono infallibili. I primi attacchi inciampavano su payload formattati male e stringhe User-Agent scelte in modo infelice, talvolta attivando blocchi difensivi invece della compromissione. Ma la curva di apprendimento è ripida e il ritmo dell’innovazione è incessante. Gli esperti di sicurezza avvertono che, man mano che le tattiche di RondoDox evolvono, l’unica difesa è una gestione aggressiva dell’esposizione e l’applicazione rapida delle patch sui dispositivi esposti a internet.

Guardando avanti: la botnet della porta accanto

L’ascesa di RondoDox è un duro promemoria del fatto che la battaglia per il cyberspazio si combatte sempre più spesso sul terreno di casa - letteralmente. Con milioni di IP residenziali ormai parte del suo arsenale, la botnet sfuma il confine tra infrastruttura criminale e utenti internet di tutti i giorni. Mentre le organizzazioni si affannano a difendersi, il resto di noi potrebbe essere già, senza saperlo, fanteria nella guerra per il controllo digitale.

WIKICROOK

  • Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da cybercriminali, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
  • Exploit: Un exploit è una tecnica o un software che sfrutta una vulnerabilità in un sistema per ottenere accesso, controllo o informazioni non autorizzati.
  • Distributed Denial: Un attacco Distributed Denial of Service (DDoS) sovraccarica un server con traffico falso, rendendo siti web o servizi inaccessibili agli utenti reali.
  • Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
  • IP residenziale: Un IP residenziale è un indirizzo internet assegnato a un utente domestico da un ISP, facendo apparire l’attività online come proveniente da una normale abitazione.
RondoDox botnet DDoS attacks
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news