حذر باحثون من توسع نشاط شبكة RondoDox الخبيثة التي باتت تستغل أكثر من 50 ثغرة أمنية لدى أكثر من 30 شركة مصنعة لأجهزة الشبكات والأنظمة المتصلة بالإنترنت. ووصفت شركة Trend Micro هذا النمط من الهجمات بأنه نهج استغلالي يستهدف أي بنية مكشوفة يمكن الوصول إليها، بما في ذلك أجهزة التوجيه ومسجلات الفيديو الرقمية (DVRs) وأنظمة المراقبة (CCTV) والخوادم الإلكترونية.
وقالت الشركة إنها رصدت محاولة اختراق عبر RondoDox في 15 يونيو 2025، حين استغل المهاجمون ثغرة CVE-2023-1389 في راوترات TP-Link Archer، وهي ثغرة خضعت لمحاولات استغلال متكررة منذ الكشف عنها أواخر عام 2022.
وكانت Fortinet FortiGuard Labs قد وثقت للمرة الأولى في يوليو 2025 نشاط RondoDox الذي استهدف أجهزة TBK DVR وأجهزة Four-Faith Router لتجنيدها ضمن شبكة Botnet التي تستخدم لتنفيذ هجمات حجب الخدمة الموزعة DDoS عبر بروتوكولات HTTP وUDP وTCP ضد أهداف محددة.
توسع الهجمات عبر بنية Loader-as-a-Service
ذكرت Trend Micro أن الشبكة الخبيثة وسعت نطاق توزيعها من خلال بنية Loader-as-a-Service تعبئ برمجية RondoDox مع حمولة Mirai وMorte، ما يزيد من سرعة الانتشار وصعوبة الاكتشاف والمعالجة. وأشارت إلى أن ترسانة الثغرات المستخدمة في الحملة تشمل نحو 56 ثغرة، من بينها 18 ثغرة غير موثقة برقم CVE رسمي.
وتطال الثغرات علامات تجارية معروفة مثل D-Link وTVT وLILIN وLinksys وQNAP وNETGEAR وTOTOLINK وApache وCisco وZyxel وBelkin وTenda وغيرها.
وأضافت الشركة أن الحملة الجديدة تمثل تطوراً نوعياً في أتمتة استغلال الثغرات الشبكية، إذ لم تعد تقتصر على استهداف جهاز واحد بل تحولت إلى عملية تحميل متعددة الاتجاهات تستغل نقاط الضعف عبر بنية كاملة من الأجهزة والخدمات.
صعود شبكات هجومية متزامنة حول العالم
وفي تقرير آخر، كشفت CloudSEK عن شبكة واسعة من نمط Loader-as-a-Service توزع برمجيات RondoDox وMirai وMorte عبر أجهزة التوجيه المنزلية SOHO وأجهزة إنترنت الأشياء وتطبيقات المؤسسات، مستغلة كلمات مرور ضعيفة ومدخلات غير مصفاة وثغرات قديمة.
كما أشار الصحفي المتخصص Brian Krebs إلى أن شبكة DDoS المسماة AISURU أصبحت واحدة من أكبر الشبكات التخريبية في العالم، وتعتمد على أجهزة إنترنت الأشياء المخترقة داخل الولايات المتحدة لدى مزودي الخدمة مثل AT&T وComcast وVerizon. ويعتقد أن أحد مشغليها، الملقب Forky، يقيم في ساو باولو البرازيلية ومرتبط بخدمة تخفيف هجمات DDoS تعرف باسم Botshield.
وتتحكم AISURU حالياً في نحو 300 ألف جهاز مخترق، وتنسب إليها بعض من أكبر هجمات حجب الخدمة المسجلة حتى اليوم.
نشاط متزامن يستهدف بروتوكول RDP
وترتبط هذه التطورات باكتشاف عملية منسقة استهدفت خدمات Remote Desktop Protocol في الولايات المتحدة عبر أكثر من 100 ألف عنوان IP من 100 دولة مختلفة. ووفق بيانات GreyNoise، بدأت الحملة في 8 أكتوبر 2025، وتركزت مصادرها في دول من بينها البرازيل والأرجنتين وإيران والصين والمكسيك وروسيا وجنوب أفريقيا والإكوادور.
وأوضح التقرير أن المهاجمين استخدموا أسلوبين رئيسيين هما هجمات توقيت الوصول عبر RD Web Access وتعداد تسجيلات الدخول في RDP Web Client، مع تطابق بصمات TCP لمعظم العناوين المشاركة، ما يشير إلى وجود تحكم مركزي موحد.
تعكس هذه المؤشرات، بحسب خبراء الأمن السيبراني، تحول الهجمات الشبكية من عمليات فردية إلى منظومات متعددة الاتجاهات تدار بخبرة عالية وتستهدف البنية التحتية العالمية لإنترنت الأشياء، ما يجعلها من أخطر التهديدات المتصاعدة في عام 2025.
