Специалисты предупреждают о новой волне атак ботнета RondoDox: малварь начала активно эксплуатировать критическую RCE-уязвимость в XWiki Platform (CVE-2025-24893). Ошибка уже значится в списке активно используемых уязвимостей CISA, а количество попыток ее использования растет с первых дней ноября. Впервые RondoDox попал на радары исследователей летом 2025 года, в частности, аналитики Fortinet упоминали, что за ним стоит новая хак-группа. Несколько месяцев спустя ботнет успел заметно увеличиться в размерах, и по данным исследователей Trend Micro, свежие версии малвари атакуют множество различных устройств (цифровые видеорегистраторы, сетевые видеорегистраторы, системы видеонаблюдения и веб-серверы) и используют десятки уязвимостей, включая проблемы, впервые продемонстрированные на хакерских соревнованиях Pwn2Own. Теперь стало известно, что операторы RondoDox активно используют новую уязвимость в XWiki — популярной опенсорсной wiki-платформе, которую компании часто внедряют для внутренних систем управления знаниями. Уязвимость CVE-2025-24893 затрагивает XWiki версий ниже 15.10.11 и 16.4.1. Эксперты VulnCheck сообщают, что с 3 ноября 2025 года RondoDox применяет специально подготовленные HTTP GET-запросы, чтобы внедрить base64-код на Groovy через эндпоинт XWiki SolrSearch. Это приводит к загрузке и выполнению удаленного шелл-скрипта, который разворачивает основную полезную нагрузку RondoDox. Исследователи отмечают, что помимо этого преступники начали разворачивать на зараженных устройствах криптовалютные майнеры, а в отдельных случаях пытались поднять реверс-шелл. При этом свежая уязвимость в XWiki заинтересовала не только операторов RondoDox. По данным VulnCheck, также наблюдается массовое сканирование сети с использованием Nuclei, и атакующие используют пейлоады для выполнения команд вроде cat /etc/passwd через Groovy-инъекции. Также фиксируются OAST-сканирования, что тоже свидетельствует о массовом поиске потенциально уязвимых установок XWiki. Общее количество атак на CVE-2025-24893 Администраторам XWiki рекомендуется как можно быстрее установить патчи: баг уже активно применяют несколько хак-групп, и ожидается, что в будущем эксплуатация будет только набирать обороты.