RustDuck-Botnetz, Malware

RustDuck-Botnetz: Malware wechselt zu Rust und wird gefährlicher

01.07.2026 - 16:46:20 | boerse-global.de

Das Botnetz RustDuck setzt nun auf die Programmiersprache Rust und infiziert Router, Kameras und Server für DDoS-Angriffe.

RustDuck-Botnetz: Neue Rust-Version bedroht Router und Server
RustDuck-Botnetz - Leuchtend rote Platine mit abstrakten Code-Schnipseln, die die Entwicklung eines Botnets und Cyberbedrohungen symbolisiert. 01.07.2026 - Bild: über boerse-global.de

Ein hochentwickeltes Botnetz namens RustDuck wechselt seine technische Basis und wird damit zur wachsenden Gefahr für Router, Kameras und Server weltweit.

Sicherheitsforscher von QiAnXin XLab entdeckten die Malware erstmals im Februar 2026. Seither hat sich das Botnetz grundlegend verändert: Die Kernkomponente wanderte von der Programmiersprache C zu Rust. Das Ziel: bessere Leistung und einfachere Anpassung an unterschiedliche Gerätetypen.

Infektion auf zwei Stufen

RustDuck befällt Router, IP-Kameras, Android-Set-Top-Boxen und Server – alles mit dem Ziel, DDoS-Angriffe (distributed denial of service) auszuführen. Derzeit ist das Botnetz noch relativ klein. Doch die komplexe Technik deutet auf eine gezielte Wachstumsstrategie hin.

Die Malware nutzt über 20 aktive IP-Adressen zur Verbreitung. Eine Adresse im Subnetz 176.65.139.204 gilt als besonders aktive Infektionsquelle.

Der Infektionsprozess läuft in zwei Phasen ab: Ein spezieller Lader installiert zunächst eine Schadsoftware, dann kommt die eigentliche Rust-Komponente zum Einsatz. Die Forscher identifizierten vier Varianten des Laders – jede mit unterschiedlichen Kombinationen aus Verschlüsselungs- und Kompressionsalgorithmen wie ChaCha20, XOR oder LZ4.

Abwehr gegen Sicherheitsforscher

Die Rust-Komponente verfügt über ausgefeilte Anti-Analyse-Funktionen. Ein Bewertungssystem prüft, ob die Malware in einer Forschungsumgebung läuft. Sie scannt gezielt nach Analyse-Tools wie Wireshark, gdb, Frida und IDA. Zudem erkennt sie virtuelle Maschinen, testet die Systemzeit und sucht nach Honeypots.

Anzeige

RustDuck wechselt zu Rust und wird gefährlicher. Die Malware befällt Router, Kameras und Server per Brute-Force und bekannten Lücken. Mit dem kostenlosen Sicherheits-Check prüfen Sie, ob Ihr Netzwerk verwundbar ist – inklusive Patch-Checkliste und Scan-Anleitung. Sicherheits-Check per E-Mail anfordern

Die Kommunikation mit den Kommando-Servern – verwaltet über duckdns.org – ist stark verschlüsselt. Ein komplexer Handshake nutzt ChaCha20-Poly1305, Curve25519 und HKDF-SHA256. Die Daten fließen via AES-GCM mit getrennten Schlüsseln für Up- und Download. Alle zehn Minuten wechseln die Schlüssel.

Angriff auf breite Gerätepalette

RustDuck verschafft sich Zugang durch Brute-Force-Angriffe auf schwache Passwörter und die Ausnutzung bekannter Sicherheitslücken. Betroffen sind Hersteller wie TP-Link, ZTE, Ruijie und TVT.

Doch das Botnetz beschränkt sich nicht auf IoT-Geräte. Es greift auch Enterprise-Software an – darunter ThinkPHP, Jenkins und Apache Hadoop YARN. Folgende Sicherheitslücken werden ausgenutzt:

  • CVE-2025-29635
  • CVE-2024-1781
  • CVE-2018-8007
  • CVE-2017-17215

Fünf Befehle, eine Infrastruktur

Anzeige

Betrifft Ihr Unternehmen das RustDuck-Botnetz? Die kostenlose Risiko-Checkliste zeigt die fünf kritischen Schwachstellen, die aktuell ausgenutzt werden, und wie Sie diese sofort schließen. Risiko-Checkliste anfordern

Einmal infiltriert, kann die Rust-Komponente fünf Hauptbefehle ausführen: DDoS-Angriffe starten, Operationen stoppen, Status melden, Code aktualisieren oder zu einem neuen Kommando-Server wechseln.

Besonders brisant: Die aktivste Verbreitungs-IP teilt sich ein Subnetz mit einem anderen Botnetz, das auf Android Debug Bridge (ADB)-Schnittstellen abzielt. Das deutet auf eine gemeinsame Infrastruktur oder Verbindung zwischen verschiedenen kriminellen Operationen hin.

de | wissenschaft | 69668339 |