
RustDuck Botnet 以 Rust 重写,劫持路由器和服务器发起 DDoS
新出现的两阶段 malware family RustDuck 正在入侵家用 router、IP camera、Android box 和防护不足的 server,组网用于 DDoS。它自 2026 年 2 月起被观察到,扩散手法结合弱口令、未修补漏洞与 Web 软件缺口。
一种新的两阶段 malware family,叫做 RustDuck,正在劫持家用 routers、IP cameras、Android boxes,以及防护不足的 servers,然后把它们拼接成一个网络,用来让 websites 和 online services 离线。
QiAnXin 的 XLab 研究人员自 2026 年 2 月起一直在追踪它,并表示真正的故事不在于它今天有多大,而在于它变化得有多快。
最终目标是 distributed denial-of-service (DDoS) attack:用受感染机器发出海量垃圾流量淹没目标,直到它撑不住为止。
RustDuck 只是这个拥挤领域里的又一个参与者,但它有两个突出之处。它正在从 C programming language 重写成 Rust,而且它的新版本为了避免被研究或被关闭,采取了不同寻常的手段。
How it spreads
RustDuck 并不依赖单一的巧妙技巧。它会撒出一组老旧、广为人知的 weaknesses,并希望其中某个能奏效。第一个是老掉牙的办法:把设备留在 internet 上,remote-login services (Telnet 和 SSH) 还在用弱口令或 default passwords。猜到密码,直接进去。
第二个是未修补的 device bugs。XLab 说 RustDuck 会针对暴露的 Android debugging interfaces,以及来自 TVT(DVRs 和 cameras)、Ruijie、TP-Link 和 ZTE 的设备漏洞,还包括一些有名、存在多年的 vulnerabilities,而这些漏洞至今仍散落在 internet 上:
CVE-2017-17215,Huawei HG532 routers 中的一个 remote code execution bug,原始的 Mirai-style botnets 早在 2017 年就利用过它。
CVE-2025-29635,已停产的 D-Link DIR-823X routers 中的一个 command-injection flaw,Akamai 在 2026 年 3 月观察到 Mirai variants 利用它。CISA 在下个月把它加入 Known Exploited Vulnerabilities list。
CVE-2024-1781,Totolink X6000R routers 中的一个 command-injection bug,其厂商从未回应披露。
CVE-2018-8007,Apache CouchDB 中的一条 remote code execution path,经过身份验证的 admin 可以利用它。
第三条路径是 web software。RustDuck 也会针对 ThinkPHP、Jenkins 和 Hadoop YARN 中已知的 holes,这让它的范围从廉价家用硬件一直延伸到暴露的 server software。
XLab 统计到有超过 20 个 internet addresses 在传播这个 malware,其中最忙的是 176.65.139[.]204。
What makes it tricky
RustDuck 采用两阶段安装:一个小型 loader 会先解密并解包一个更重的 core module。真正有意思的 engineering 就在这个 core 里面,而它也正是被重写成 Rust 的部分。
一般来说,Rust binaries 比起多年来驱动 device malware 的 C 更难被 analysts 拆解,XLab 说 RustDuck 的 Rust core 在 key derivation、隐藏分析以及与其 servers 通信方面都显示出真正的深度。这种切换说明它是在积极开发中,而不是对 leaked code 做一次快速换皮。
更明显的迹象是,新样本为了保持隐藏所做的努力有多大。在做任何事情之前,RustDuck 会先跑一份 checklist,判断自己是落在 security researcher 的 lab 里,还是落在真实受害者的设备上。它会寻找像 Wireshark 和 gdb 这样的 analysis tools,寻找附着在自己进程上的 debuggers,寻找 honeypot trap 的指纹,甚至寻找 virtual-machine hardware。
每次命中都会增加风险分数。超过阈值,malware 就会抹掉自己的痕迹并退出,免得别人看见它运行。
其中有两项检查特别突出。一个会悄悄尝试连到一个保留用于测试、按理说绝不会有回应的 internet address;如果真的有东西回应,RustDuck 就知道自己进了一个专门欺骗 malware 的 fake network,然后立刻离开。
另一个会比较两个 clocks,用来抓住那些会加速 time、催促 malware 赶快露出底牌的 sandboxes。
它的 communications 也同样被锁得很紧。RustDuck 用 modern ciphers 加密流量:handshake 阶段使用 ChaCha20-Poly1305,开始接收 commands 后使用 AES-GCM。它通过 HKDF-SHA256 和 Curve25519 exchange 派生 keys,每十分钟轮换一次,并把连接伪装成普通的 encrypted web traffic,让自己混在其中。
一旦 device check in,operators 就可以发送一小串 orders:start an attack、stop it、report status、switch to new control servers,或者悄悄把 malware upgrade 到更新的 build。control addresses 依赖 duckdns.org 这类 free dynamic-DNS services,这也是名字里 “Duck” 的来源。
This fits a bigger pattern
RustDuck 不是第一个转向 Rust 的 botnet。2025 年 4 月,Fortinet 记录了 RustoBot,这是一个基于 Rust 的 botnet,通过 Totolink 和其他 routers 扩散来发起 DDoS attacks,使用的也是同一套配方:廉价 routers、现代语言,以及按需 flooding traffic。
它也出现在 DDoS 极其凶猛的一年。同类 botnet 在规模扩大后,已经制造出史上最大的 floods。AISURU 以及一组相关 botnets,合计超过三百万台 hijacked devices,在今年春天一次由美国主导的 operation 拆毁它们的 infrastructure 之前,把攻击推到了接近 30 Tbps。和那相比,RustDuck 很小。令人担心的是它正在前进的方向。
有一个细节值得再看一眼:RustDuck 最繁忙的 delivery address,176.65.139[.]204,位于另一组地址里,而那组地址中的服务器是春季 2026 年报告的、另一个针对 ADB 的 DDoS botnet 的后台。那可能只是巧合,也可能是共享的 bulletproof hosting,XLab 并没有把两者关联起来,但这种重叠本身就是值得检查的那类东西。
What to do
RustDuck 本身没有补丁,因为它是 malware,不是单一 bug。防御意味着关上它会走进来的门:
把 remote-management interfaces 从 public internet 上拿掉。在不需要的地方关闭 Android Debug Bridge、Telnet 和 SSH,绝不要让它们在 default passwords 下仍然可达。
能打补丁的就打补丁,不能打的就替换。CouchDB 有可升级的 fixed releases,但其中一些 routers 已经过了 end-of-life。对于 D-Link DIR-823X,CISA 的建议是把它从服务中移除,而不是等待不会到来的 patch;Totolink 的厂商则从未回应披露。unsupported gear 必须更换,不能修补。
封锁已知 indicators。XLab 的报告列出了 malware 的 file hashes、control domains 和 source addresses;把它们纳入你的 monitoring。
RustDuck 是一个小型 botnet,却披着一个严肃 botnet 的 engineering。它最终会成长为真正的 threat,还是会慢慢熄火,尚未可知;但它正在测试的 techniques——Rust rewrite,以及 paranoid hide-from-researchers routine——很可能会被其他 crew 借走。