RustDuck : ce botnet DDoS cible vos routeurs et serveurs

RustDuck : un nouveau botnet DDoS menace vos appareils

Depuis février 2026, les chercheurs de XLab (QiAnXin) surveillent un nouveau botnet baptisé RustDuck, qui cible des routeurs, caméras IP, box Android et serveurs mal protégés pour mener des attaques DDoS. Ce botnet se caractérise par une architecture à deux composants : un petit loader qui déchiffre et décompresse un module Core plus complexe, où sont concentrées ses principales capacités. Selon le rapport de XLab, plus de 20 adresses IP sont déjà impliquées dans sa diffusion, la plus active étant 176.65.139[.]204.

Pour se propager, RustDuck utilise plusieurs méthodes, notamment :

  • Le brute force de mots de passe faibles ou par défaut sur les services d’accès distant Telnet et SSH.
  • L’exploitation d’interfaces de débogage Android (ADB) exposées et de vulnérabilités sur des équipements de marques telles que Ruijie, TP-Link et ZTE.
  • L’exploitation de failles anciennes mais toujours d’actualité, comme la CVE-2017-17215, ciblant les routeurs Huawei HG532, et d’autres vulnérabilités sur des routeurs D-Link et Totolink.
  • La compromission de logiciels serveurs exposés, tels que ThinkPHP et Jenkins, élargissant ainsi son champ d’action aux infrastructures d’entreprise.

Ce type de propagation n’est pas inédit, d’autres botnets adoptant des techniques similaires, tels que CatDDoS et Mirai, qui exploitent également de multiples vulnérabilités pour constituer leurs réseaux d’appareils compromis.

Ce qui distingue RustDuck, c’est son module Core, réécrit en Rust, rendant ses binaires plus difficiles à analyser et à désassembler que ceux écrits en C. Les chercheurs de XLab notent que le malware effectue une série de vérifications pour déterminer s’il se trouve dans un environnement d’analyse, comme une sandbox. Si les tests indiquent un environnement d’analyse, RustDuck efface ses traces et s’arrête.

Les tests incluent la détection d’outils d’analyse, la recherche de honeypots et des vérifications de matériel virtualisé. Si les tests sont concluants, la machine infectée rejoint le botnet, permettant aux pirates d’exécuter des commandes à distance.

RustDuck n’est pas le premier botnet à utiliser Rust, RustoBot ayant été documenté par Fortinet en avril 2025. Le nom « RustDuck » fait référence à la transition du code en C vers Rust et à l’utilisation de domaines hébergés sur le service DNS dynamique duckdns.org.

Source : XLab (QiAnXin)

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *