RustDuck Botnet wordt opnieuw opgebouwd in Rust om routers en servers te kapen voor DDoS

Cyberbeveiliging
RustDuck Botnet wordt opnieuw opgebouwd in Rust om routers en servers te kapen voor DDoS

Er is een nieuwe tweefasige malwarefamilie gebeld RustDuck kapt thuisrouters, IP-camera’s, Android-boxen en slecht beveiligde servers en voegt ze vervolgens samen in een netwerk dat is gebouwd om websites en online diensten offline te halen.

Onderzoekers van het XLab van QiAnXin volgen het sinds februari 2026 en zeggen dat het echte verhaal niet is hoe groot het vandaag de dag is, maar hoe snel het verandert.

Het einddoel is een DDoS-aanval (Distributed Denial-of-Service): een doelwit overspoelen met junkverkeer van de geïnfecteerde machines totdat het vastloopt.

RustDuck is nog een nieuwkomer in een druk veld, maar valt om twee redenen op. Het wordt herschreven van de programmeertaal C naar Rust, en de nieuwere versies gaan tot het uiterste om te voorkomen dat het wordt bestudeerd of afgesloten.

Hoe het zich verspreidt

RustDuck leunt niet op één slim trucje. Het sproeit een mix van oude, bekende zwakheden en hoopt dat iemand blijft hangen. De eerste is de oudste in het boek: apparaten die op internet zijn achtergelaten met zwakke of standaardwachtwoorden op hun externe login-services (Telnet en SSH). Raad het wachtwoord en loop naar binnen.

De tweede zijn ongepatchte apparaatbugs. XLab zegt dat RustDuck achter de blootgelegde Android-foutopsporingsinterfaces en fouten in apparatuur van TVT (DVR’s en camera’s), Ruijie, TP-Link en ZTE aan gaat, plus een handvol benoemde, jaren oude kwetsbaarheden die nog steeds op internet liggen:

Het derde pad is websoftware. RustDuck richt zich ook op bekende gaten in ThinkPHP, Jenkins en Hadoop YARN, waardoor het bereik zich uitstrekt van goedkope thuishardware tot blootgestelde serversoftware.

XLab telde meer dan twintig internetadressen die de malware verspreidden, waarvan de drukste op 176.65.139(.)204 stond.

Wat het lastig maakt

RustDuck wordt in twee fasen geïnstalleerd: een kleine lader die een zwaardere kernmodule decodeert en uitpakt. In die kern schuilt de interessante techniek, en het is het deel dat in Rust wordt herschreven.

Rust-binaire bestanden zijn voor analisten over het algemeen moeilijker uit elkaar te halen dan de C die al jaren apparaat-malware aandrijft, en XLab zegt dat de Rust-kern van RustDuck echte diepgang laat zien in de manier waarop het zijn sleutels ontleent, zich verbergt voor analyse en met zijn servers praat. De overstap wijst op actieve ontwikkeling, niet op een snelle re-skin van gelekte code.

Het grotere verhaal is hoe hard de nieuwere monsters werken om verborgen te blijven. Voordat RustDuck iets doet, voert hij een checklist uit om te bepalen of het in het laboratorium van een beveiligingsonderzoeker is beland in plaats van op het apparaat van een echt slachtoffer. Het zoekt naar analysetools als Wireshark en gdb, naar debuggers die aan zijn eigen proces zijn gekoppeld, naar de vingerafdrukken van een honeypot-trap, en zelfs naar hardware van virtuele machines.

Elke treffer voegt punten toe aan een risicoscore. Als u een drempel overschrijdt, wist de malware zijn sporen en stopt voordat iemand hem kan zien draaien.

Twee van die cheques vallen op. Men probeert stilletjes een internetadres te bereiken dat gereserveerd is voor testen en nooit mag antwoorden; Als er iets antwoordt, weet RustDuck dat het zich in een nepnetwerk bevindt dat is gebouwd om malware voor de gek te houden en borgtocht te betalen.

Een ander vergelijkt twee klokken om sandboxes op te vangen die de tijd versnellen om malware de hand te laten zien.

De communicatie ervan is op passende wijze vergrendeld. RustDuck codeert zijn verkeer met moderne cijfers: ChaCha20-Poly1305 voor de handdruk, AES-GCM zodra het opdrachten aanneemt. Het ontleent zijn sleutels aan HKDF-SHA256 en een Curve25519-uitwisseling, roteert ze elke tien minuten en kleedt de verbinding aan zodat deze eruitziet als gewoon gecodeerd webverkeer, zodat deze opgaat.

Zodra een apparaat is ingecheckt, kunnen de operators een korte lijst met opdrachten sturen: een aanval starten, stoppen, de status rapporteren, overschakelen naar nieuwe controleservers of de malware stilletjes upgraden naar een nieuwere versie. De controleadressen zijn afhankelijk van gratis dynamische DNS-services zoals duckdns.org, waar de “Duck” in de naam vandaan komt.

Dit past in een groter patroon

RustDuck is niet het eerste botnet dat Rust bereikt. In april 2025 documenteerde Fortinet RustoBot, een op Rust gebaseerd botnet dat zich via Totolink en andere routers verspreidde om DDoS-aanvallen uit te voeren, volgens hetzelfde recept: goedkope routers, een moderne taal en overstromingsverkeer op aanvraag.

Het arriveert ook in een wreed jaar voor DDoS. Hetzelfde soort botnet, opgeschaald, heeft de grootste overstromingen ooit veroorzaakt. AISURU en een cluster van gerelateerde botnets, met samen meer dan drie miljoen gekaapte apparaten, zorgden voor aanvallen van bijna 30 Tbps voordat een door de VS geleide operatie dit voorjaar hun infrastructuur neerhaalde. Daarnaast is RustDuck klein. De zorg is de richting waarin het gaat.

Eén detail dat het bekijken waard is: het drukste afleveradres van RustDuck, 176.65.139(.)204, bevindt zich in hetzelfde kleine blok adressen als de server achter een afzonderlijk ADB-targeting DDoS-botnet dat in het voorjaar van 2026 werd gerapporteerd. Dat kan toeval zijn of gedeelde bulletproof-hosting, en XLab koppelt de twee niet, maar de overlap is iets dat de moeite waard is om te controleren.

Wat te doen

Er is geen patch voor RustDuck zelf, omdat het malware is en geen enkele bug. Verdediging betekent het sluiten van de deuren waar het doorheen loopt:

  • Haal interfaces voor extern beheer van het openbare internet. Schakel Android Debug Bridge, Telnet en SSH uit waar ze niet nodig zijn, en laat ze nooit bereikbaar met standaardwachtwoorden.
  • Patch wat je kunt, vervang wat je niet kunt. CouchDB heeft vaste releases om naar te upgraden, maar sommige van deze routers hebben het einde van hun levensduur bereikt. Voor de D-Link DIR-823X is het advies van CISA om deze uit dienst te nemen in plaats van te wachten op een patch die niet komt, en de Totolink-maker heeft nooit op de onthulling gereageerd. Niet-ondersteunde tandwielen moeten worden vervangen, niet gerepareerd.
  • Blokkeer de bekende indicatoren. Het rapport van XLab vermeldt de bestandshashes, controledomeinen en bronadressen van de malware; voer ze in uw monitoring in.

RustDuck is een klein botnet met de techniek van een serieus botnet. Of het nu uitgroeit tot een echte dreiging of uitdooft, de technieken die het test, een Rust-herschrijving en een paranoïde verstoppertje-routine, zijn de onderdelen die andere bemanningen het meest waarschijnlijk zullen lenen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Microsoft waarschuwt dat beschrijvingen van vergiftigde MCP-tools ervoor kunnen zorgen dat AI-agenten gegevens lekken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]