RustDuck新型僵尸网络用Rust重写劫持路由器和服务器发动DDoS攻击
一个被命名为RustDuck的新型双阶段恶意软件正在劫持家用路由器、IP摄像头、安卓盒子以及防护薄弱的服务器,将它们拼接成一张专门用于打垮网站和在线服务的攻击网络。QiAnXin旗下的XLab研究团队自2026年2月起持续追踪这个家族,他们强调,重点不在于它现在规模有多大,而在于它变化有多快。
两个入口,一个目的
RustDuck的感染策略没什么花哨之处,靠的是广撒网。第一条路是最古老的一招:Telnet和SSH管理界面对外开放,并使用弱密码或默认密码。第二条路是设备漏洞,XLab列出了它正在武器化的CVE:CVE-2025-29635(已停产的D-Link DIR-823X路由器命令注入漏洞,2026年4月被CISA列入已知利用漏洞目录)、CVE-2017-17215(华为HG532路由器远程代码执行漏洞,当年原版Mirai就在滥用,现在仍有大量未打补丁的设备)、CVE-2024-1781(Totolink X6000R路由器命令注入,厂商从未响应披露)以及CVE-2018-8007(Apache CouchDB中需要认证管理员权限的远程代码执行路径)。第三条路更值得警惕:RustDuck还在打ThinkPHP、Jenkins、Hadoop YARN等服务端软件的已知漏洞,把触角从廉价家用设备延伸到了暴露在公网的服务器。
Rust迁移是重点
XLab报告强调,RustDuck正在经历从C语言到Rust的全面技术转型,每一个新变体都带来了更复杂的加密方案、更精细的反分析机制和更难以审计的通信设计。C2通信采用ChaCha20-Poly1305和AES-GCM加密,密钥频繁轮换。攻击加载器本身已经历了四个记录在案的变体,每个都采用不同的加密方案。
Rust二进制文件比C语言编译的版本更难被传统逆向工具分析,这使得安全研究人员建立检测特征的速度被动放慢。RustDuck并不是第一个拥抱Rust的DDoS僵尸网络——Fortinet在2025年4月曾记录过一个叫RustoBot的Rust版本,通过Totolink路由器扩散,剧本与RustDuck高度相似——但它的迭代速度已经引起了专业研究人员的注意。
它还不是最大的威胁,但值得盯紧
就当前规模而言,RustDuck仍远不能与今年春天刚被美国主导打击行动肃清的AISURU等超级僵尸网络相提并论,后者动员了逾300万台设备,发动过近30 Tbps的攻击。
XLab标记了一个细节:RustDuck最活跃的投递地址176.65.139[.]204,与2026年早些时候报告的另一个针对ADB接口的DDoS僵尸网络位于同一小段地址空间。XLab没有直接联系两者,但这种重叠本身值得记录。
防御建议方面,XLab指出不存在针对RustDuck的单一补丁,因为它利用的是一批分散的入口点。关闭它的思路是:把远程管理界面从公网收回;不需要的地方关掉安卓Debug Bridge、Telnet和SSH,绝不留默认密码;能打补丁的打补丁,打不了补丁的(比如D-Link DIR-823X)CISA的建议是直接停用,因为厂商的补丁根本不会来了。
RustDuck代表的是DDoS威胁生态里一个持续存在的规律——旧漏洞、旧设备,配上新的技术包装,就能组成新一批攻击资源。无论发起攻击的是哪个僵尸网络,被攻击的服务器需要的是同一件事:在流量抵达应用层之前就被清洗掉。SellBGP的BGP高防服务器通过Anycast节点在流量源头就近拦截,不给攻击流量进入核心网络的机会。