🔍 Contexte

Publié le 16 avril 2026 par BitSight, cet article constitue le second volet d’une série d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en détail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacités du malware.

🦠 Chaîne d’infection

L’infection débute par l’exploitation de vulnérabilités sur des systèmes exposés (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exécuté en mémoire sans écriture disque, réalisant :

  • Anti-analyse basique (redirection stdout/stderr vers /dev/null, vérification TTY)
  • Suppression d’autres malwares concurrents
  • Recherche d’un répertoire accessible en écriture
  • Téléchargement et exécution du binaire RondoDox pour l’architecture cible (18 architectures supportées)

⚙️ Binaire principal

Le binaire principal (hash MD5 : 36de3e6ab2fcc0f92a02f1377f463fdd) implémente :

  • Validation du nom d’exécutable et des arguments avant toute action
  • Nanomites : fork enfant surveillant le processus parent pour détecter les débogueurs
  • Daemonisation et vérification de débogueur noyau (auto-suppression si détecté)
  • Ajustement du score OOM-Killer à -1000
  • Suppression de malwares concurrents (processus dans /tmp, /var, /dev, etc.)
  • Masquage : renommage aléatoire du binaire, déplacement vers /lib/systemd/
  • Persistance via init.d, crontab, rc.local, inittab sur de multiples chemins
  • Renommage de binaires système : iptables, ufw, shutdown, poweroff, halt, reboot, chattr
  • Déploiement du mineur XMRig (architectures x86_64, i686, ARMV) nommé softirq
  • Communication C2 sur port 8443 via TCP texte avec XOR optionnel

📡 Protocole réseau C2

Le bot se connecte aléatoirement à l’un des deux C2 hardcodés sur le port 8443. Le protocole est textuel sur TCP brut avec chiffrement XOR optionnel (clé !). 16 commandes identifiées :

  • .exit, .sys <cmd>, .kill <signal> <proc> (gestion du bot)
  • 12 commandes d’attaque DoS + .stop

💣 Capacités DDoS

Attaques aux couches Internet, transport et application :

  • 28 types de payloads supportés dont : cs2, csgo, roblox, fortnite, dayz, fivem, mcjava, discord, openvpn, raknet, ssh, dns, rdns, stun, wireguard, etc.
  • Usurpation d’IP source : locale, aléatoire, ou depuis 39 plages CIDR OVH hardcodées
  • Commandes : .udp, .sudp, .syn, .handshake, .psh, .tcplegit, .http, .spoof, .udpraw, .icmp, .raw, .tcp

⛏️ Minage Monero

Le mineur XMRig est déployé sous le nom softirq, connecté initialement à pool.hashvault.pro:443 puis migré vers un proxy XMRig sur 45.94.31.89:443. La vulnérabilité exploitée sert de nom d’utilisateur pour le minage.

📈 Évolution temporelle (mai 2025 – janvier 2026)

  • Mai 2025 : version initiale, 9 architectures, 9 commandes, 23 protocoles DoS
  • Juin 2025 : +4 commandes, +5 protocoles, +11 architectures, obfuscation XOR déplacée en fonction dédiée
  • Juillet 2025 : ajout email dans les scripts, kill de processus concurrents renforcé
  • Août 2025 : désactivation SELinux/AppArmor, suppression FreeBSD
  • Novembre 2025 : ajout commande .kill, premières capacités de minage
  • Décembre 2025 – Janvier 2026 : commandes .stop et .spoof, obfuscation avancée (OTP XOR + substitution), focus sur React2Shell

📋 Type d’article

Analyse technique approfondie publiée par BitSight Research, visant à documenter exhaustivement les capacités, l’évolution et les IoCs du botnet RondoDox pour les équipes CTI et défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • RondoDox (cybercriminal) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1036.003 — Masquerading: Rename System Utilities (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1543.002 — Create or Modify System Process: SysV/Systemd Service (Persistence)
  • T1053.003 — Scheduled Task/Job: Cron (Persistence)
  • T1037 — Boot or Logon Initialization Scripts (Persistence)
  • T1496 — Resource Hijacking (Impact)
  • T1498 — Network Denial of Service (Impact)
  • T1571 — Non-Standard Port (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1057 — Process Discovery (Discovery)
  • T1562.006 — Impair Defenses: Indicator Blocking (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)

IOC

  • IPv4 : 41.231.37.153AbuseIPDB · VT · ThreatFox
  • IPv4 : 45.94.31.89AbuseIPDB · VT · ThreatFox
  • Domaines : pool.hashvault.proVT · URLhaus · ThreatFox
  • URLs : http://41.231.37.153/rondo.lolURLhaus
  • URLs : http://41.231.37.153/rondo.x86_64URLhaus
  • MD5 : d637a9002d762fb61d090b94e381136eVT · MalwareBazaar
  • MD5 : 36de3e6ab2fcc0f92a02f1377f463fddVT · MalwareBazaar
  • Emails : rondo2012@atomicmail.io
  • Emails : bang2012@prontomail.com
  • Emails : bang2012@atomicmail.io
  • Emails : bang2012@tutanota.de
  • Emails : bang2013@atomicmail.io
  • Emails : makenoise@tutanota.de
  • Fichiers : rondo
  • Fichiers : softirq
  • Fichiers : rondo.lol
  • Fichiers : health.sh
  • Fichiers : stink.sh
  • Chemins : /etc/rondo/rondo
  • Chemins : /etc/init.d/rondo
  • Chemins : /etc/rc3.d/S99rondo
  • Chemins : /etc/rc.d/S99rondo
  • Chemins : /etc/cron.d/rondo
  • Chemins : /lib/systemd/
  • Chemins : /var/spool/cron/crontabs/root
  • Chemins : /var/spool/cron/root
  • Chemins : /etc/crontab
  • Chemins : /etc/crontabs/root
  • Chemins : /etc/cron.d/0hourly

Malware / Outils

  • RondoDox (botnet)
  • XMRig (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ bitsight.com — source reconnue (Rösti community) (20pts)
  • ✅ 41799 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 29 IOCs dont des hashes (15pts)
  • ✅ 3/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 21 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : RondoDox (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 41.231.37.153 (ip) → VT (23/94 détections)
  • 45.94.31.89 (ip) → VT (11/94 détections)
  • pool.hashvault.pro (domain) → VT (13/94 détections)

🔗 Source originale : https://www.bitsight.com/blog/rondodox-botnet-malware-analysis