Kritische React-Lücke treibt Botnetz an und gefährdet IoT-Server und -Geräte : RondoDox missbraucht React2Shell und vereint Webanwendungen und vernetzte Geräte in einem Botnetz
Eine neue Angriffskampagne zeigt, wie gefährlich ungepatchte Webtechnologien geworden sind. Das Botnetz RondoDox nutzt eine kritische Schwachstelle in React und Next.js, um weltweit Server und vernetzte Geräte zu übernehmen. Auch Deutschland ist betroffen.
Seit Anfang des Jahres 2025 beobachten Sicherheitsforscher eine langfristig angelegte Angriffskampagne, die Webanwendungen und Geräte aus dem Bereich Internet-of-Things (IoT) systematisch kompromittiert. Ziel ist der Aufbau und Betrieb des Botnetzes RondoDox, das über Monate hinweg stetig gewachsen ist und nun eine neue Eskalationsstufe erreicht hat.
React2Shell als Türöffner für Remote Code Execution
Im Dezember 2025 nutzten die Angreifer erstmals gezielt die Schwachstelle React2Shell mit der CVE-Kennung 2025-55182. Die Lücke betrifft React Server Components und das Webframework Next.js und erlaubt nicht authentifizierten Angreifern die Ausführung von Schadcode aus der Ferne. Mit einem CVE-Risikowert von 10,0 gilt sie als äußerst kritisch.
Nach Angaben der Shadowserver Foundation waren zum 31. Dezember 2025 weltweit rund 90.300 Instanzen weiterhin verwundbar. Der Großteil befand sich in den USA mit 68.400 Systemen, gefolgt von Deutschland mit 4.300, Frankreich mit 2.800 und Indien mit 1.500 betroffenen Servern.
RondoDox: Vom gezielten Scanning zur Masseninfektion
Das Botnetz RondoDox tauchte erstmals zu Beginn des Jahres 2025 auf und wurde schrittweise ausgebaut. Neben React2Shell nutzen die Betreiber auch ältere, aber weiterhin wirksame Schwachstellen wie CVE 2023-1389 und 2025-24893. Frühere Analysen mehrerer Sicherheitsanbieter wie Darktrace, Kaspersky, and VulnCheck hatten bereits auf diese Entwicklung hingewiesen.
Die Angreifer gingen dabei schrittweise vor. Zunächst sammelten sie im März und April 2025 gezielt Informationen und suchten manuell nach verwundbaren Systemen. In einer zweiten Phase weiteten sie ihre Aktivitäten aus und überprüften zwischen April und Juni täglich große Mengen an Webanwendungen wie WordPress, Drupal und Struts sowie Router und andere vernetzte Geräte. Ab Juli automatisierten sie ihre Angriffe vollständig und kompromittierten bis Anfang Dezember stündlich neue Systeme in großem Umfang.
Miner, Loader und Mirai-Variante im Zusammenspiel
Bei Angriffen im Dezember 2025 suchten die Angreifer gezielt nach verwundbaren Next.js-Servern. Nach erfolgreicher Kompromittierung installierten sie unter anderem Kryptowährungsminer, ein Ladeprogramm mit Überwachungsfunktion sowie eine Variante des bekannten Mirai-Botnetzes.
Besonders auffällig ist ein spezielles Hilfsprogramm der Angreifer, das kompromittierte Systeme „aufräumt“. Es entfernt andere Schadprogramme, beendet fremde Prozesse und löscht Überreste früherer Angriffe. Zusätzlich sorgt es über feste Systemzeitpläne dafür, dass die eigene Schadsoftware dauerhaft aktiv bleibt. Etwa alle 45 Sekunden prüft das Programm, welche Anwendungen laufen, und beendet alles, was nicht ausdrücklich erlaubt ist. So stellen die Angreifer sicher, dass nur ihr eigenes Botnetz die Kontrolle über die infizierten Systeme behält.
Empfehlungen zur Abwehr der Bedrohung
Um das Risiko wirksam zu reduzieren, empfehlen Experten, Next.js umgehend auf eine abgesicherte Version zu aktualisieren. IoT-Geräte sollten konsequent in getrennten virtuellen lokalen Netzwerken betrieben werden, damit ein kompromittiertes Gerät nicht das gesamte Netzwerk gefährdet. Ergänzend sind Web Application Firewalls sinnvoll, ebenso wie eine kontinuierliche Überwachung laufender Prozesse und das gezielte Blockieren bekannter Command-and-Control-Infrastrukturen.
Der Fall RondoDox verdeutlicht, wie schnell sich kritische Schwachstellen in modernen Webtechnologien in großflächige Angriffe übersetzen lassen. Für Unternehmen bedeutet das: Patch-Management und Netzwerksegmentierung sind längst keine optionalen Maßnahmen mehr, sondern zentrale Voraussetzungen für digitale Sicherheit.