• Jakarta - Indonesia
  • December 17, 2025

RondoDox Terungkap: Mengurai Ancaman Botnet Baru

RondoDox Terungkap: Mengurai Ancaman Botnet Baru

Botnet baru yang dirancang untuk pengelakan dan gangguan sistem

Platform yang Terpengaruh: TBK DVR-4104, TBK DVR-4216, router Four-Faith model F3x24, Four-Faith model F3x36.
Pengguna yang Terdampak: Semua organisasi
Dampak: Penyerang jarak jauh dapat mengambil alih sistem yang rentan
Level Keparahan: Tinggi

Selama sebulan terakhir, FortiGuard Labs telah mengamati peningkatan signifikan dalam aktivitas pemindaian, termasuk kampanye botnet baru yang mengeksploitasi dua kerentanan berisiko tinggi: CVE-2024-3721 dan CVE-2024-12856. Kedua kerentanan ini telah dipublikasikan dan sedang aktif dieksploitasi, sehingga menimbulkan risiko serius bagi keamanan perangkat dan integritas jaringan secara keseluruhan.

RondoDox

Botnet yang bertanggung jawab dalam serangan ini dinamai RondoDox. Tidak seperti varian yang tersebar luas seperti Mirai atau Gafgyt, RondoDox adalah ancaman baru yang masih memiliki profil rendah. FortiGuard Labs pertama kali mengidentifikasi binary ELF serupa pada September 2024. Menariknya, RondoDox menggabungkan pustaka kustom dan meniru lalu lintas dari platform gaming atau server VPN agar tidak terdeteksi.

Detail Kerentanan

CVE-2024-3721

Kerentanan kritis yang mempengaruhi TBK DVR (DVR-4104 dan DVR-4216).
Masalah ini berasal dari penanganan yang tidak tepat pada jalur /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX, di mana parameter mdb dan mdc dapat dimanipulasi untuk menyuntikkan perintah OS.
Eksploitasi berhasil memungkinkan penyerang mengeksekusi perintah arbitrer dari jarak jauh.

CVE-2024-12856

Mempengaruhi router Four-Faith model F3x24 dan F3x36.
Kerentanan ini memungkinkan penyerang jarak jauh yang telah terautentikasi untuk mengeksekusi perintah OS melalui HTTP dengan mengeksploitasi antarmuka apply.cgi saat memodifikasi waktu sistem.

Analisis Downloader

RondoDox awalnya didistribusikan untuk OS Linux pada arsitektur ARM dan MIPS. Namun, kini ditemukan script shell downloader yang memungkinkan malware ini menargetkan arsitektur Linux yang lebih luas, termasuk:

  • Intel 80386

  • MC68000

  • MIPS R3000

  • PowerPC

  • SuperH

  • ARCompact

  • x86-64

  • AArch64

Script shell tersebut:

  • Menginstruksikan host untuk mengabaikan sinyal tertentu (SIGTTOU, SIGTTIN, dll.)

  • Mengecek direktori yang dapat ditulis tanpa flag noexec

  • Membuat direktori /tmp/lib, mengunduh malware RondoDox, menjalankannya

  • Menghapus riwayat perintah agar tidak terdeteksi

Analisis RondoDox

Analisis berikut berfokus pada binary arsitektur x86-64 bernama rondo.x86_64.

1. Obfuscation Konfigurasi

Konfigurasi dienkode menggunakan XOR sederhana dengan key heksadesimal 0x21, termasuk path file dan nama tool.

2. Mekanisme Persistensi

RondoDox:

  • Memodifikasi permission file

  • Membuat symbolic link

  • Menambahkan script persistensi

Contoh:

  • /etc/init.d/rondo

  • /etc/rc3.d/S99rondo

Selain itu, malware menambahkan perintah startup pada:

  • /etc/rcS

  • /etc/init.d/rcS

  • /etc/inittab

  • Crontab user dan root

Ini memastikan persistensi berlapis-lapis.

3. Penghindaran Analisis

RondoDox memeriksa proses host dan menghentikan aplikasi seperti:

wget, curl, Wireshark, gdb, tcpdump, iptables, passwd, ufw, miner, xmrig, dsb.

4. Gangguan Sistem

Malware memindai direktori executable Linux:
/usr/sbin, /usr/bin, /usr/local/bin, /usr/local/sbin

Lalu mengganti nama beberapa executable menjadi string acak sehingga sistem menjadi tidak stabil.

Contoh:

  • iptables → jsuJpf

  • ufw → nqqbsc

  • passwd → ahwdze

  • shutdown → hhrqwk

5. Komunikasi C2

RondoDox mendekode alamat C2 83[.]150[.]218[.]93 menggunakan key “rondo”.

Setelah terhubung, ia menerima perintah untuk melakukan serangan DDoS menggunakan:

  • HTTP

  • UDP

  • TCP

6. Penyamaran Lalu Lintas (Traffic Mimicry)

Agar tidak terdeteksi firewall, RondoDox meniru traffic dari:

Valve, Minecraft, Roblox, Fortnite, GTA, DayZ, Discord, OpenVPN, WireGuard, RakNet, dan lainnya.

Contoh penyamaran: menggunakan “magic byte” OpenVPN \x38 dalam payload.

Kesimpulan

RondoDox adalah malware canggih yang menggunakan:

  • Teknik anti-analisis

  • Enkripsi XOR

  • Pustaka kustom

  • Persistensi berlapis

Malware ini mengeksploitasi dua kerentanan utama:

  • CVE-2024-3721

  • CVE-2024-12856

Ancaman ini menegaskan pentingnya patching cepat dan analisis perilaku mendalam.

Perlindungan Fortinet

FortiGuard Antivirus mendeteksi malware ini sebagai:

  • BASH/RondoDox.A!tr.dldr

  • ELF/RondoDox.CTO!tr

FortiGate, FortiMail, FortiClient, dan FortiEDR memberikan perlindungan melalui layanan antivirus FortiGuard.

FortiGuard Web Filtering Service memblokir server C2.

IPS signature disediakan untuk:

  • CVE-2024-3721

  • CVE-2024-12856

IOC (Indicators of Compromise)

Host

45[.]135[.]194[.]34
83[.]150[.]218[.]93
14[.]103[.]145[.]202
14[.]103[.]145[.]211
154[.]91[.]254[.]95
78[.]153[.]149[.]90

File Hashes

(downloaders dan sampel RondoDox — seluruh daftar sudah diterjemahkan tanpa perubahan)

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!