RondoDox Botnet: Yeni Tehditlerin Ortaya Çıkışı
Son dönemde siber güvenlik alanında yaşanan gelişmeler, birçok şirketi ve bireyi endişelendiren yeni bir tehdit olan RondoDox botnet’in yükselişine işaret ediyor. Bu botnet, 50’den fazla güvenlik açığını hedef alarak, internete açık altyapılara saldırılar düzenliyor. Trend Micro‘ya göre, bu saldırıların çoğu yönlendiriciler, dijital video kaydediciler (DVR), ağ video kaydediciler (NVR), güvenlik kameraları ve çeşitli diğer ağ cihazlarını kapsıyor.
RondoDox’un İstismar Yöntemi
RondoDox, tıpkı bir “istismar av tüfeği” gibi geniş bir yelpazede saldırılar düzenliyor. Bu saldırılar, genellikle ilk defa 2022’nin sonlarında bildirilen ve sürekli olarak istismar edilen bir güvenlik açığı olan CVE-2023-1389 üzerinden gerçekleştiriliyor. 15 Haziran 2025’te Trend Micro, bu güvenlik açığına dayanan bir RondoDox saldırı girişimi tespit etti. Söz konusu güvenlik açığı, TP-Link Archer yönlendiricilerinde bulunuyor ve saldırganlar tarafından aktif olarak kullanılmakta.
Gelişmiş Dağıtım ve Erişim Yöntemleri
RondoDox’un son zamanlarda öğrendiğimiz önemli bir özelliği, ‘loader-as-a-service’ (yükleme hizmeti) altyapısını kullanarak kendisini Mirai/Morte yükleri ile birleştirmesi. Bu durum, hem tespiti zorlaştırıyor hem de remediasyonu (düzeltme) daha acil hale getiriyor. RondoDox botnet kampanyası, otomatik ağ istismarındaki önemli bir evrimi temsil ediyor. Bu, tek bir cihazdan faydalanmaktan çok, çok yönlü bir yükleme operasyonuna geçiş yapıldığını gösteriyor.
Güvenlik Açıkları ve Hedef Altyapılar
RondoDox botnet’i, toplamda 56 güvenlik açığı ile çalışıyor, bu açılardan 18’i ise CVE tanımlayıcısı olmayan boşluktur. D-Link, Linksys, NETGEAR ve daha birçok farklı markadan kaydedilen bu güvenlik açıkları, geniş bir pazar yelpazesinin hedef alındığını gösteriyor. Trend Micro’ya göre bu durum, siber saldırganların hedefleyecekleri altyapıyı daha da genişletmelerine olanak tanıyor.
Siber Tehditlerin Geleceği
Geçtiğimiz ay, CloudSEK tarafından yapılan açıklamalara göre, RondoDox ve diğer botnetlerin SOHO yönlendiricileri, IoT cihazları ve kurumsal uygulamalar üzerinden büyük bir yükleme hizmeti ile dağıtıldığı tespit edildi. Zayıf kimlik bilgileri, hijyenizasyondan geçmemiş girişler ve eski CVE’lerden yararlanarak bu saldırıların hedef kitlesini daha da genişletmek için çalışılmaktadır.
AISURU Botnet’i ve Küresel Etkileri
Siber güvenlik gazetecisi Brian Krebs, AISURU adı verilen başka bir DDoS botnetinin çoğu etkisinin, ABD internet servis sağlayıcıları üzerinde bulunan IoT cihazlarından geldiğini belirtti. Bu botnetin bir operatörü olan Forky’nin, Brezilya’da temellendiği ve ayrıca DDoS azaltma hizmeti sağlayan Botshield’a da bağlantısı olduğu iddia ediliyor.
Son aylarda AISURU, dünya genelinde tahmini olarak 300,000 ele geçirilmiş cihaza sahip olarak ortaya çıkan en büyük ve yıkıcı botnetler arasında yer aldı. RondoDox’un geniş ve otomatikleşmiş saldırı kabiliyeti, bu botnet’in giderek daha kapsamlı ve yaratıcı saldırılar düzenlemesine zemin hazırlıyor.
Koordine Botnet Operasyonları
GreyNoise’a göre, son zamanlarda, 100’den fazla ülkede bulunan 100,000’ in üzerinde benzersiz IP adresini içeren koordine bir botnet operasyonu keşfedildi. Bu kampanya, Uzak Masaüstü Protokolü (RDP) hizmetlerine yoğun bir şekilde saldırıyor. 8 Ekim 2025 itibarıyla başlayan bu saldırılar, çoğunlukla Brezilya, Arjantin, İran, Çin ve diğer ülkelerden gelen trafiği içeriyor.
Saldırılar, RD Web Erişimi zamanlama saldırıları ve RDP web istemcisi oturum açma sayımları ile iki temel saldırı vektörü kullanıyor. Katılan IP’lerin çoğu, merkezi bir kontrolü işaret eden benzer bir TCP parmak izi paylaşıyor.
Bu hızlı gelişim süreci, siber güvenlik alanında daha fazla dikkat gerektiren bir durumu ifade ediyor. Tüketicilerin ve işletmelerin, güvenlik tedbirlerini gözden geçirmesi ve sürekli güncellemelerle bu tehditlere karşı önlem alması büyük önem taşıyor.
