RondoDox殭屍網路近期大舉利用React2Shell漏洞（CVE-2025-55182），作為初始入侵途徑，部署加密貨幣挖礦程式、Mirai變種與載入器，威脅全球IoT設備與企業網路。資安公司CloudSEK與Rewterz最新報告顯示，此波攻擊自12月起加速，全球暴露Next.js伺服器逾9萬台，美國、德國、法國與印度為重災區。對台灣而言，React與Next.js廣用於電商、金融與雲端應用，IoT設備市佔高，若遭感染，恐致伺服器淪為挖礦機、參與DDoS或橫移內網，資安專家呼籲企業立即修補與隔離，防範供應鏈與邊界災難。

 

RondoDox自2025年春現蹤，FortiGuard Labs首揭其利用DVR與路由器n-day漏洞建網；夏秋擴大載入Mirai與Morte IoT惡意軟體，Trend Micro 10月報告指其可攻近60種全球網路設備，如路由器、DVR、NVR、Web伺服器與CCTV。CloudSEK部落格指出，此波轉用React2Shell—12月初披露的React Server Components不安全反序列化漏洞（CVSS 10分），影響Next.js Server Actions，易遠端程式碼執行（RCE）。攻擊者掃描暴露伺服器，成功後部署多載荷：加密礦工、殭屍載入器、健康檢查模組與Mirai變種。

 

Rewterz元旦報告詳述，載入器每45秒終止競爭惡意軟體與非白名單進程，經cron職持久化，阻 rival 再感染，展現高度競爭性。RondoDox支援x86、MIPS、ARM與PowerPC等多架構二進位，備wget、curl、tftp、ftp多備援下載，確保雲端、邊緣與嵌入系統全覆蓋。CloudSEK警告，「企業Next.js Server Actions若易原型污染，面臨全伺服器淪陷。」

 

攻擊鏈多階段：先Web應用（如WordPress、Drupal、Struts2、WebLogic）獲初始存取，竊憑證橫移，再瞄IoT。企業面臨挖礦帳單暴增、DDoS參與與資源耗盡；IoT網路易成殭屍軍團。Rewterz估全球暴露實例9.03萬，美國最多，其次歐洲與亞洲。攻擊者每小時自動掃描，暴露路由器（D-Link、TP-Link、Netgear、Linksys、ASUS）、IP攝影機與網路家電首當其衝。

 

台灣衝擊嚴峻。根據資策會2026年雲端報告，本地Next.js與React使用率逾65%，電商如PChome、momo、金融如玉山銀行數位平台廣用伺服器端渲染。IoT設備逾4000萬台，涵蓋智慧家居、工廠自動化與監控系統。若RondoDox入侵，伺服器淪挖礦機，帳單暴漲；IoT成Mirai變種節點，參與DDoS癱瘓網路。趨勢科技台灣分公司估計，2026年IoT殭屍攻擊漲30%，多源自邊界漏洞。國資中心資安處已發文企業，列為高優先，呼籲檢查暴露Next.js實例。

 

專家建議多層防禦：

CloudSEK與Rewterz一致呼籲，「這是邊界與Web應用戰役—修補、隔離與監測缺一不可。」台灣作為亞太IoT與雲端重鎮，此波攻擊是警鐘：從被動修補，到主動韌性。數位發展部（數發部）應擴大補助WAF與掃描工具，企業審核供應鏈。RondoDox的擴張，凸顯2026年殭屍網路工業化—台灣須聯手國際，守護數位邊界不墜。

 

 

出處：本新聞參考自Elizabeth Montalbano於2026年1月5日發表於Dark Reading的報導《RondoDox Botnet Expands Scope With React2Shell Exploitation》。