Uma nova onda de ataques está sendo impulsionada pela botnet RondoDox, que explora falhas conhecidas em dispositivos de dezenas de fabricantes, incluindo D-Link, Cisco e TP-Link. A operação já comprometeu milhares de roteadores e câmeras conectadas à internet. A campanha, descrita como uma “espingarda de exploits”, tem como alvo roteadores, gravadores de vídeo digital, câmeras de segurança e servidores web expostos à internet.
O grupo por trás da RondoDox utiliza falhas conhecidas, como a CVE-2023-1389, presente em roteadores TP-Link Archer, explorada desde 2022. Segundo a Trend Micro, a botnet vem sendo usada para ataques de negação de serviço distribuído (DDoS), aproveitando protocolos HTTP, UDP e TCP. Inicialmente, a RondoDox foi documentada em julho de 2025 pela Fortinet, quando era usada para comprometer roteadores e DVRs da TBK e Four-Faith. Agora, o malware passou a operar em um modelo de Loader-as-a-Service, distribuindo cargas como Mirai e Morte, o que amplia sua capacidade de infecção e evasão. Cerca de 18 das falhas exploradas ainda não possuem identificador CVE, o que indica que muitas delas são vulnerabilidades desconhecidas ou sem patch oficial. As brechas permitem que os criminosos assumam o controle de dispositivos conectados, transformando-os em zumbis usados em ataques coordenados.
A campanha foi detectada em centenas de países, com grande volume de tráfego malicioso originado no Brasil, Argentina, China, México e Rússia. De acordo com especialistas, o RondoDox representa uma evolução significativa na automação de ataques contra dispositivos IoT e infraestrutura doméstica. Além disso, há indícios de relação com a botnet AISURU, que vem sendo usada em ataques DDoS recordistas e possui mais de 300 mil dispositivos comprometidos. Um dos operadores, conhecido como “Forky”, teria base em São Paulo e estaria ligado a um suposto serviço de mitigação de ataques chamado Botshield.
