Le botnet RustDuck détourne routeurs, caméras et serveurs pour des attaques DDoS
Depuis février 2026, les chercheurs de XLab (QiAnXin) suivent un nouveau botnet baptisé RustDuck, qui détourne routeurs, caméras IP, box Android et serveurs mal protégés pour les utiliser dans des attaques DDoS. Voici ce que l’on sait sur cette menace et son mode opératoire.
RustDuck repose sur une architecture avec deux composants : un petit loader déchiffre et décompresse un module Core bien plus lourd, où se concentre l’essentiel de ses capacités. D’après le rapport publié par XLab, plus de 20 adresses IP participent déjà à sa diffusion, la plus active étant .

Mots de passe faibles et vieilles failles pour la propagation
Pour se propager entre les appareils, RustDuck combine plusieurs méthodes :
- Le brute force de mots de passe faibles ou par défaut sur les services d’accès distant Telnet et SSH,
- L’exploitation d’interfaces de débogage Android (ADB) exposées et de failles visant des équipements TVT (enregistreurs et caméras), Ruijie, TP-Link et ZTE,
- L’exploitation de CVE anciennes et déjà patchées, mais toujours d’actualité : CVE-2017-17215 (routeurs Huawei HG532, déjà abusée par les variantes de Mirai en 2017), CVE-2025-29635 (routeurs D-Link DIR-823X, arrêtés), CVE-2024-1781 (routeurs Totolink X6000R) et CVE-2018-8007 (RCE sur Apache CouchDB),
- La compromission de logiciels serveur exposés comme ThinkPHP, Jenkins et Hadoop YARN, ce qui étend sa portée du matériel grand public bon marché jusqu’aux infrastructures d’entreprise.
Ce mode opératoire n’a rien d’inédit. D’autres botnets suivent les mêmes méthodes. On peut notamment citer CatDDoS, qui exploite plus de 80 vulnérabilités pour compromettre des appareils, et le botnet Mirai « Gayfemboy » et sa vingtaine de failles exploitées. Puisqu’il s’agit d’un botnet, l’objectif reste le même : accumuler des machines pour lancer des attaques par déni de service distribué avec un maximum d’appareils zombies.
Passage à Rust et anti-analyse : la vraie nouveauté
C’est le module Core, réécrit en Rust, qui distingue RustDuck des autres botnets. Les binaires Rust sont en général plus difficiles à désassembler que le C. Les chercheurs de XLab estiment qu’il y a de vraies sophistications pour la dérivation de clés, la dissimulation et les communications.
Preuve que ce n’est pas un malware codé à la va-vite, il analyse la machine infectée avant d’agir. En effet, le malware exécute une batterie de vérifications pour déterminer s’il a atterri sur la sandbox d’un chercheur plutôt que sur celle d’une vraie victime. Chaque test ajoute des points à un score de risque : au-delà d’un seuil, le programme efface ses traces et s’arrête.
Le rapport de XLab évoque plusieurs de ces tests, parmi lesquels :
- La recherche d’outils d’analyse dans la liste des processus (Wireshark, , , , …),
- La détection de honeypots (fichiers de configuration de Cowrie ou Dionaea),
- Un test de « trou noir réseau » : une connexion vers l’adresse de test réservée (RFC 5737), qui ne devrait jamais répondre. Si elle répond, RustDuck en déduit qu’il est dans un environnement d’analyse qui simule Internet, et abandonne,
- La détection de matériel virtualisé (VirtualBox, VMware, préfixes MAC spécifiques).

Une fois les tests effectués, la machine rejoint le botnet si les tests effectués sont concluants. À partir de là, les pirates peuvent lancer des commandes à distance pour le piloter.
Pour autant, RustDuck n’est pas le premier botnet à adopter Rust. D’après The Hacker News, Fortinet avait déjà documenté en avril 2025 RustoBot, un botnet écrit en Rust qui se propageait via des routeurs Totolink pour mener des attaques DDoS.
Terminons par une petite précision à propos du nom du botnet RustDuck qui a été retenu pour deux raisons : le passage du C vers Rust pour le code, et l’usage de domaines hébergés sur le service DNS dynamique gratuit duckdns.org.