锁定物联网设备安全漏洞而来的僵尸网络RondoDox，最早在半年前由安全公司Fortinet发现相关活动，当时他们观察到黑客大规模扫描TKB的DVR设备操作系统命令注入漏洞CVE-2024-3721，以及中国网络设备厂商厦门四信科技工控路由器命令注入漏洞CVE-2024-12856。如今有安全公司指出，该僵尸网络的活动最早可追溯至2025年3月。

威胁情报公司CloudSEK指出，RondoDox从12月上旬开始转变主要攻击目标，利用CVE-2025-55182（React2Shell）劫持Next.js应用服务器，随后进一步更换基础设施进行相关活动。该公司从12月13日起，不到一周内已发现超过40起重复的攻击行为。该僵尸网络病毒目前已发展出超过10个变种，CloudSEK确认有6台C2服务器用于相关活动。

CVE-2025-55182存在于React服务器组件（React Server Components，RSC）的重大漏洞，发现该漏洞的研究人员将其命名为React2Shell。该漏洞可用于远程执行任意代码，CVSS风险评分为10分，且利用门槛极低，公开后不久便被多组中国国家级黑客、僵尸网络、挖矿软件及木马程序用于实际攻击，其中一组即为使用RondoDox的黑客团体。

针对RondoDox的攻击形态，大致可分为三类：黑客在3月至4月期间手动操作，进行零星尝试；4月至6月已发展为每日自动化扫描；7月起威胁加剧，演变为每小时自动部署攻击。其中，攻击活动的高峰始于12月13日。

RondoDox针对Next.js应用服务器的漏洞利用活动大致分为两个阶段：12月8日至16日进行漏洞扫描，寻找存在React2Shell漏洞的服务器；从12月13日起，通过Node.js在目标主机植入僵尸网络病毒，随后下载ELF二进制文件并在后台运行。这些ELF文件包含Mirai变种、挖矿程序及僵尸网络加载工具。

在入侵Next.js应用服务器之前，RondoDox不仅针对物联网设备，也曾尝试劫持XWiki服务器。11月初，攻击者已将重大漏洞CVE-2025-24893纳入攻击工具库。该漏洞允许攻击者无需身份验证，即可通过特定请求向XWiki主机执行任意代码（RCE），CVSS风险评分为9.8分。