Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure.

🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures.

🕸️ Impacts et objectifs: les capacités observées incluent cryptominage, attaques DDoS et compromission de réseaux d’entreprise. La campagne présente une infrastructure C2 dynamique et éphémère, compliquant la détection et le blocage.

🔄 Infrastructure et opérations: l’opération utilise des services de DNS dynamique et fait tourner fréquemment ses C2. L’ensemble s’inscrit dans un modèle Loader-as-a-Service, facilitant la distribution de payloads multiples et l’extension rapide du botnet.

🧩 IOCs et TTPs:

  • IOCs fournis par CloudSEK: empreintes SHA256, adresses IP, enregistrements DNS passifs (pour détection et blocage).
  • TTPs: injection de commandes via POST (NTP/syslog/hostname), exploitation de CVE (WebLogic/WordPress/vBulletin), usage d’identifiants par défaut, chargeurs multi‑étapes, DNS dynamique, rotation fréquente d’infrastructure C2.

Il s’agit d’une analyse de menace visant à documenter la campagne, ses vecteurs d’attaque et les indicateurs utiles à la détection.

🧠 TTPs et IOCs détectés

TTPs

Injection de commandes via POST, Exploitation de CVE (WebLogic/WordPress/vBulletin), Usage d’identifiants par défaut, Chargeurs multi-étapes, DNS dynamique, Rotation fréquente d’infrastructure C2

IOCs

Empreintes SHA256, Adresses IP, Enregistrements DNS passifs

🔗 Source originale : https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads

🖴 Archive : https://web.archive.org/web/20250925094316/https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads