Uma nova campanha maliciosa envolvendo a botnet RondoDox está explorando ativamente a falha crítica React2Shell (CVE-2025-55182) para comprometer servidores web que utilizam o framework Next.js. A vulnerabilidade permite a execução remota de código sem autenticação e foi rapidamente armada por cibercriminosos para expandir a botnet em escala global. A falha, com pontuação máxima CVSS 10.0, afeta diretamente React Server Components e, por consequência, frameworks modernos como o Next.js, que dependem desse recurso.
A exploração ocorre por meio de requisições HTTP manipuladas, que permitem a execução de código malicioso no servidor afetado. Pesquisadores apontam que a campanha da RondoDox está ativa desde meados de 2025 e evoluiu significativamente após a divulgação pública da falha React2Shell. A botnet varre automaticamente a internet em busca de servidores vulneráveis para infectá-los e integrar ao seu arsenal. Após a invasão, os atacantes implantam cargas como mineradores de criptomoedas, variantes do malware Mirai e ferramentas para controle remoto.
Um módulo chamado “/nuts/bolts” é usado para remover malware concorrente, garantir persistência e manter o controle sobre os sistemas comprometidos. Dados de inteligência da Shadowserver Foundation indicam que mais de 90 mil servidores e dispositivos ainda estão expostos à falha, com maior concentração nos Estados Unidos, Europa e Ásia. Dispositivos IoT também estão sendo visados, ampliando o alcance da campanha. O principal vetor de acesso tem sido a falta de atualização dos servidores após a divulgação da falha. A versão corrigida do React Server Components foi lançada em dezembro de 2025, mas muitos administradores ainda não aplicaram o patch de segurança.
