RustDuck: Neues Botnetz bedroht Cybersicherheit mit gefährlicher Malware
Heute ist der 1.07.2026 und in der Welt der Cybersicherheit gibt es Neuigkeiten, die aufhorchen lassen. Sicherheitsforscher von QiAnXin XLab haben ein neues Botnetz entdeckt, das den Namen RustDuck trägt. Dieses Botnetz hat sich im Februar 2026 ins Rampenlicht gedrängt und sorgt für einige besorgte Gesichter in der Branche. Der Clou: RustDuck hat seine technische Basis von C auf Rust gewechselt, um die Leistung und Anpassungsfähigkeit zu verbessern. Das klingt erst einmal technisch, aber es bedeutet, dass die Malware gefährlicher geworden ist und wir alle auf der Hut sein sollten.
RustDuck zielt hauptsächlich auf Router, IP-Kameras, Android-Set-Top-Boxen und Server ab, um DDoS-Angriffe auszuführen. Momentan ist das Botnetz zwar noch relativ klein, es zeigt jedoch Anzeichen einer Wachstumsstrategie. Die Verbreitung erfolgt über mehr als 20 aktive IP-Adressen, wobei die Adresse im Subnetz 176.65.139.204 besonders aktiv ist. Das lässt auf eine gut durchdachte Infrastruktur schließen, die potenziell viele weitere Geräte gefährden könnte.
Der Infektionsprozess
Der Infektionsprozess von RustDuck besteht aus zwei Phasen. Zuerst installiert ein spezieller Lader die Schadsoftware, bevor die Rust-Komponente aktiviert wird. Dabei wurden vier Varianten des Laders identifiziert, die jeweils unterschiedliche Verschlüsselungs- und Kompressionsalgorithmen verwenden, wie etwa ChaCha20 oder XOR. Was die Sache komplizierter macht, sind die Anti-Analyse-Funktionen der Rust-Komponente. Diese erkennen Forschungsumgebungen, indem sie nach Analyse-Tools und virtuellen Maschinen scannen. Es wird also immer schwieriger, den Schädling aufzuspüren.
Die Kommunikation zwischen den infizierten Geräten und den Kommando-Servern, die unter der Domain duckdns.org agieren, ist stark verschlüsselt. Hier kommen komplexe Handshake-Verfahren zum Einsatz, die Technologien wie ChaCha20-Poly1305, Curve25519 und HKDF-SHA256 nutzen. Die Sicherheit wird zusätzlich erhöht, da die Schlüssel alle zehn Minuten gewechselt werden.
Ziele und Schwachstellen
Ein weiteres Thema, das nicht unbeachtet bleiben sollte, sind die betroffenen Hersteller. RustDuck hat es auf Geräte von TP-Link, ZTE, Ruijie und TVT abgesehen. Aber auch Enterprise-Software wie ThinkPHP, Jenkins und Apache Hadoop YARN sind nicht sicher. Die Malware nutzt dabei aus, was sie finden kann, und das sind einige bekannte Sicherheitslücken, darunter CVE-2025-29635, CVE-2024-1781, CVE-2018-8007 und CVE-2017-17215. Die Liste ist lang und lässt auf eine besorgniserregende Lage schließen.
Nach der Infiltration kann die Rust-Komponente immerhin fünf Hauptbefehle ausführen: DDoS-Angriffe starten, Operationen stoppen, den Status melden, Code aktualisieren und zu einem neuen Kommando-Server wechseln. Das klingt fast nach einem Science-Fiction-Film, ist aber bitterer Ernst für viele Unternehmen und Privatpersonen.
Gemeinsame Infrastruktur
Ein interessanter Aspekt ist, dass die aktive Verbreitungs-IP sich ein Subnetz mit einem anderen Botnetz teilt, das auf Android Debug Bridge (ADB)-Schnittstellen abzielt. Das könnte darauf hinweisen, dass hier eine gemeinsame Infrastruktur genutzt wird, was die Verbreitung und die Effizienz der Angriffe weiter erhöhen könnte. Das ist natürlich besonders alarmierend, denn es zeigt, wie vernetzt die Welt der Cyberkriminalität ist.
Die Entwicklung rund um RustDuck macht deutlich, wie wichtig es ist, Sicherheitsvorkehrungen zu treffen und auf dem neuesten Stand zu bleiben. Vor allem da sich die Bedrohungen ständig weiterentwickeln und anpassen. Hier ist Wachsamkeit gefragt, um nicht Opfer dieser neuen, schnell wachsenden Bedrohung zu werden. Wer seine Geräte und Systeme nicht ausreichend schützt, könnte schnell ins Visier dieser raffinierten Malware geraten. Daher bleibt nur zu hoffen, dass die Sicherheitsforscher weiterhin am Ball bleiben und uns vor solchen Bedrohungen schützen können.
Neues Design, maximale Performance: Wie gefällt Ihnen unsere neue Website?
Ein modernes Nachrichtenportal wie unseres, muss für alle Menschen zugänglich sein. Unser Website System wurde daher konsequent nach den Vorgaben der WCAG 2.1 und BITV 2.0 neu entwickelt – mit sauberer Struktur, ARIA-Attributen und ohne technische Hürden für assistive Technologien. Die barrierefreie Umsetzung verantwortete Daniel Wom / VeloCore.
