Почему маленький ботнет RustDuck пугает исследователей больше, чем армия из миллионов устройств?

Команда XLab из китайской компании QiAnXin начала отслеживать RustDuck в феврале 2026 года. По меркам мира киберугроз это довольно скромная история: ботнет небольшой, жертв немного, до рекордов ему далеко. Но именно техническое устройство этой штуки заставило исследователей писать подробный разбор — потому что авторы RustDuck явно думают наперёд.
RustDuck — двухступенчатое вредоносное ПО, заточенное под DDoS-атаки. Сначала на заражённое устройство попадает небольшой загрузчик, который расшифровывает и разворачивает основной модуль. Этот основной модуль переписывается с C на Rust — и вот здесь начинается самое интересное. Rust-бинарники значительно сложнее анализировать стандартными инструментами, чем код на C. Это не ленивый рескин утёкших исходников Mirai, это активная разработка с нормальной инженерной культурой.
Заражает RustDuck то, что большинство людей даже не считает компьютерами: домашние роутеры, IP-камеры, Android-приставки, DVR-рекордеры, плохо защищённые серверы. Под раздачу попадают конкретные модели — роутеры Huawei HG532, D-Link DIR-823X (снятые с производства), Totolink X6000R, устройства TP-Link, ZTE, Ruijie, а также серверы с Apache CouchDB. Добавьте сюда ThinkPHP, Jenkins и Hadoop YARN — и получите атаку, которая одновременно метит и в домашние сети, и в корпоративную инфраструктуру.
Заражение идёт двумя путями. Первый — банальный перебор слабых и дефолтных паролей на Telnet и SSH. Второй — эксплуатация конкретных уязвимостей. CVE-2017-17215 в роутерах Huawei HG532 известна с 2017 года и когда-то активно использовалась ещё Mirai-подобными ботнетами. CVE-2025-29635 в D-Link DIR-823X — инъекция команд, которую Akamai зафиксировала в эксплуатации в марте 2026 года, а уже в апреле 2026 года CISA добавила её в список Known Exploited Vulnerabilities. CVE-2024-1781 в Totolink X6000R — производитель вообще не ответил на уведомление об уязвимости. CVE-2018-8007 в Apache CouchDB требует прав администратора, но при их наличии даёт удалённое выполнение кода. Малварь раздаётся более чем с 20 адресов, самый активный из которых — 176.65.139[.]204.
Отдельного разговора заслуживает система уклонения от анализа. Перед тем как начать работу, RustDuck прогоняет самопроверку: каждый обнаруженный признак анализа добавляет очки к внутреннему счётчику риска. Превысил порог — малварь сам себя затирает и выходит. Он проверяет наличие Wireshark и gdb, ищет отладчики, прикреплённые к собственному процессу, выявляет сигнатуры honeypot и виртуальных машин. Есть там ещё два хитрых теста. Первый: малварь тихо пробует достучаться до зарезервированного адреса, который в реальной сети никогда не отвечает — если ответ пришёл, значит сеть подконтрольна исследователям, и RustDuck уходит. Второй: сравниваются два внутренних таймера — так выявляются песочницы, которые ускоряют системное время для быстрого анализа поведения малвари.
Шифрование канала связи реализовано на уровне, который многие легитимные приложения не потрудились внедрить. Рукопожатие — ChaCha20-Poly1305, командная фаза — AES-GCM, обмен ключами — Curve25519, деривация ключей — HKDF-SHA256. Ключи меняются каждые 10 минут. Трафик замаскирован под обычный зашифрованный веб-трафик. Управляющие серверы прячутся за бесплатными сервисами динамического DNS, главным образом — отсюда и «Duck» в названии. Операторы через командный канал могут запускать и останавливать атаки, запрашивать статус, переводить ботов на новые серверы и незаметно обновлять версию малвари.
RustDuck существует не в вакууме. В апреле 2025 года Fortinet задокументировал RustoBot — тоже написанный на Rust ботнет, распространявшийся через роутеры Totolink. Схема та же: дешёвые роутеры плюс современный язык плюс флудовый трафик по требованию. Параллельно весной 2026 года американская операция ликвидировала ботнет-кластер AISURU — более 3 миллионов захваченных устройств, атаки под 30 Тбит/с, один из крупнейших DDoS-флудов в истории. Примечательная деталь: самый активный раздающий адрес RustDuck 176.65.139[.]204 находится в том же небольшом адресном блоке, что и сервер другого DDoS-ботнета, атаковавшего устройства через ADB и описанного той же весной 2026 года. XLab официально не связывает два ботнета — возможно совпадение, возможно общий bulletproof-хостинг.
Что со всем этим делать на практике. Интерфейсы удалённого управления не должны торчать в публичный интернет — ADB, Telnet и SSH там, где они не нужны, просто отключаются. Дефолтные пароли меняются немедленно. Apache CouchDB обновляется до исправленных версий прямо сейчас. D-Link DIR-823X выводится из эксплуатации — CISA прямо советует это сделать, патча не будет. Totolink X6000R меняется на другое оборудование — производитель проигнорировал уведомление об уязвимости. Оборудование без поддержки производителя не чинится, оно заменяется. Хеши файлов малвари, управляющие домены и адреса источников из отчёта XLab загружаются в системы мониторинга.
XLab смотрит на RustDuck не как на актуальную угрозу, а как на проект в активной разработке. Параноидальная система уклонения от анализа и реализация шифрования на Rust — это именно те компоненты, которые другие авторы вредоносного ПО охотнее всего заимствуют. Ботнет маленький, но инструментарий взрослый.


Новое на сайте

Ссылка