Credit image: Freepix
Kerentanan Tunggal Menjadi Operasi Multi Vektor – Dunia keamanan siber tengah menghadapi lonjakan ancaman dari botnet yang terus berevolusi, terutama dengan munculnya kampanye RondoDox.
Malware ini telah memperluas fokus penargetannya secara masif, memanfaatkan lebih dari 50 kerentanan di lebih dari 30 vendor berbeda.
Para peneliti menyebut pendekatan ini sebagai “tembakan senapan eksploitasi” (exploit shotgun), karena botnet RondoDox mencoba puluhan kerentanan secara sekaligus untuk melihat mana yang berhasil menembus target.
Dari Kerentanan Tunggal Menjadi Operasi Multi-Vektor
Botnet RondoDox awalnya didokumentasikan pada Juli 2025, yang berfokus pada DVR TBK dan Router Four-Faith untuk merekrut mereka dalam melancarkan serangan Distributed Denial-of-Service (DDoS). Namun, kini RondoDox telah bermutasi menjadi ancaman yang jauh lebih canggih:
|
Baca juga: Serangan Phising Terfavorit 2025 |
1. Jangkauan Target yang Meledak
RondoDox kini menargetkan berbagai infrastruktur yang terhubung ke internet, termasuk:
- Router dan perangkat jaringan rumah (SOHO).
- DVR (Perekam Video Digital), NVR (Perekam Video Jaringan), dan sistem CCTV.
- Server Web dan berbagai perangkat IoT (Internet of Things).
Sebagian besar kerentanan yang dimanfaatkan (50 dari 56) adalah jenis Command Injection, yang memungkinkan penyerang mendapatkan akses shell (kendali jarak jauh) pada perangkat yang rentan.
Vendor yang terkena dampaknya sangat beragam, meliputi TP-Link, D-Link, Cisco, NETGEAR, QNAP, Apache, dan puluhan lainnya.
2. Model Loader as a Service (LaaS)
Evolusi paling signifikan adalah adopsi infrastruktur “Loader-as-a-Service” (LaaS). Dalam model ini, RondoDox dipaketkan bersama payload botnet terkenal lainnya, yaitu Mirai dan Morte.
Model LaaS ini memungkinkan pelaku ancaman menyebarkan dan memutar payload dengan cepat, yang membuat deteksi dan remediasi menjadi semakin mendesak.
Hal ini jelas menandakan bahwa kampanye RondoDox telah bergerak melampaui oportunisme perangkat tunggal menjadi operasi pemuatan multi-vektor.
Ancaman Berlanjut Botnet Global Mirai dan AISURU
Aktivitas RondoDox terjadi bersamaan dengan munculnya botnet besar lainnya, yang menunjukkan lanskap ancaman global yang semakin terpusat dan kuat.
|
Baca juga: Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker |
AISURU Sang Pemecah Rekor DDoS
Botnet AISURU telah muncul sebagai salah satu botnet paling besar dan paling mengganggu, yang bertanggung jawab atas beberapa serangan DDoS dengan volume data tertinggi yang pernah tercatat.
- AISURU dibangun di atas fondasi kode Mirai, botnet yang pernah melumpuhkan sebagian besar internet pada tahun 2016.
- AISURU mengendalikan sekitar 300.000 host yang terkompromi di seluruh dunia, dengan sebagian besar kekuatannya berasal dari perangkat IoT yang terhubung ke penyedia layanan internet besar di AS.
- Salah satu operator botnet ini, yang dikenal sebagai Forky, diduga berbasis di Sao Paulo, Brasil, dan juga terkait dengan layanan mitigasi DDoS bernama Botshield, menunjukkan adanya konflik kepentingan yang mencurigakan.
Gelombang Serangan Protokol Desktop Jarak Jauh (RDP)
Perusahaan intelijen ancaman GreyNoise juga melacak operasi botnet terkoordinasi yang melibatkan lebih dari 100.000 alamat IP unik dari lebih dari 100 negara yang menargetkan layanan Remote Desktop Protocol (RDP) di AS.
Aktivitas ini dimulai pada Oktober 2025, dengan mayoritas lalu lintas serangan berasal dari Brasil, Argentina, Iran, China, dan Rusia.
Serangan ini menggunakan vektor khusus seperti RD Web Access timing attacks dan RDP web client login enumeration untuk menemukan nama pengguna yang valid, yang menjadi dasar untuk upaya brute force (pencobaan kata sandi secara paksa).
Langkah Pencegahan Melindungi Jaringan Anda
Ancaman gabungan dari RondoDox, AISURU, dan serangan RDP terkoordinasi ini menunjukkan pentingnya mengamankan perangkat yang terekspos internet.
- Prioritaskan penambalan (patching) untuk kerentanan yang sudah diketahui (Known Exploited Vulnerabilities/KEV). Botnet secara rutin mengeksploitasi kerentanan lama yang belum diperbarui.
- Botnet seperti RondoDox seringkali menggunakan daftar kombinasi nama pengguna dan kata sandi default (misalnya, admin:admin atau admin:1234) untuk menginfeksi perangkat. Ganti semua kata sandi default perangkat IoT dan router Anda menjadi kombinasi yang kuat dan unik.
- Jika Anda memiliki DVR, NVR, atau kamera CCTV, pastikan layanan ini tidak dapat diakses langsung dari internet publik kecuali benar-benar diperlukan. Gunakan VPN atau pembatasan IP.
- Isolasi perangkat IoT dan perangkat konsumen (router SOHO) dari infrastruktur perusahaan yang lebih kritis untuk membatasi pergerakan lateral malware jika terjadi kompromi.
Sumber berita:
