RustDuck é um botnet detectado em fevereiro de 2026 que infecta roteadores domésticos, câmeras IP, boxes Android e servidores para montar ataques DDoS. Escrito em Rust com criptografia moderna e anti-análise agressivo, ele explora senhas fracas e falhas antigas (CVE-2017-17215, CVE-2025-29635) para se espalhar. Mais de 20 IPs participam da disseminação, com o mais ativo em 176.65.139[.]204. Não existe patch único — a defesa é desativar Telnet/SSH na WAN, trocar senhas padrão e substituir roteadores descontinuados.

RustDuck: botnet em Rust sequestra roteadores

A XLab, laboratório da QiAnXin, rastreia o RustDuck desde fevereiro de 2026. O malware se destaca por uma migração completa de C para Rust — uma escolha que dificulta significativamente a engenharia reversa por parte de pesquisadores de segurança. A rede de comando usa domínios dinâmicos do DuckDNS, daí o “Duck” no nome.

Como o RustDuck infecta dispositivos

O RustDuck não depende de uma única vulnerabilidade. Ele utiliza um spray de técnicas conhecidas, contando que pelo menos uma funcione. A porta de entrada principal é a exploração de senhas fracas ou padrão em serviços de gerenciamento remoto como Telnet e SSH expostos na internet. Uma vez dentro, o malware também tira proveito de falhas não corrigidas em dispositivos de fabricantes como TP-Link, ZTE, Ruijie e TVT.

A lista de CVEs explorados inclui falhas antigas que ainda infestam a internet. Cada brecha expande o alcance do botnet para além de roteadores, atingindo servidores web e bancos de dados. A tabela abaixo resume os principais vetores:

CVE Produto Tipo de Falha Ano
CVE-2017-17215 Huawei HG532 RCE remoto 2017
CVE-2025-29635 D-Link DIR-823X Injeção de comando 2025
CVE-2024-1781 Totolink X6000R Injeção de comando 2024
CVE-2018-8007 Apache CouchDB RCE via admin 2018

A CVE-2025-29635 é o caso mais recente — uma injeção de comando em roteadores D-Link descontinuados. A Akamai documentou variantes do Mirai explorando essa falha em março de 2026, e a CISA adicionou-a ao catálogo de vulnerabilidades exploradas logo em seguida. Completam o arsenal brechas em ThinkPHP, Jenkins e Hadoop YARN.

Arquitetura em dois estágios

O RustDuck opera em duas fases. O primeiro estágio é um loader minimalista, escrito em C, que se encarrega de descriptografar e carregar o módulo principal. Esse loader passou por quatro variantes distintas, evoluindo de criptografia XOR simples com LCG para ChaCha20 com verificação de integridade — cada versão tornando a engenharia reversa mais difícil.

O segundo estágio é o core, e é nele que a mudança para Rust acontece. Conforme a The Hacker News relatou com base na pesquisa da XLab, binários Rust são consideravelmente mais duros de dissecar do que equivalentes em C. O core implementa derivação de chaves com HKDF-SHA256, troca Curve25519 para sigilo encaminhado, e rotação de chaves a cada 10 minutos. A criptografia de tráfego combina ChaCha20-Poly1305 no handshake e AES-GCM na comunicação estável — o que faz o tráfego parecer HTTPS comum para qualquer monitor de rede.

Anti-análise sofisticado esconde o malware

Antes de executar qualquer ação maliciosa, o RustDuck avalia se está dentro do ambiente de um pesquisador. Ele implementa um sistema de pontuação de risco que verifica a presença de ferramentas como Wireshark, gdb, IDA e Frida. Detecta debuggers anexados ao processo, bibliotecas de injeção como frida-server e asan, e compara hashes SHA256 do próprio binário para identificar modificações.

Dois checks merecem destaque. Um tenta alcançar um endereço IP reservado para testes — se algo responde, o malware conclui que está numa rede honeypot e encerra. O outro compara dois relógios do sistema para detectar sandboxes que aceleram o tempo para forçar o malware a se revelar mais rápido. Segundo a análise técnica da XLab, cada detecção soma pontos ao risco; ao ultrapassar o limiar, o malware apaga seus rastros e sai sem executar o payload.

Ações após a infecção

Uma vez instalado e com o check de ambiente aprovado, o dispositivo infectado se conecta aos servidores de comando via domínios dinâmicos do DuckDNS — daí o “Duck” no nome. Os operadores podem enviar cinco tipos de ordem: iniciar ataque DDoS, interromper ataque, reportar status, trocar servidor C2 ou atualizar silenciosamente o malware.

O objetivo principal é DDoS de alta volumetria: inundar alvos com tráfego junk até derrubar o serviço. O botnet não é o maior em atividade — redes como AISURU, com mais de 3 milhões de dispositivos, geraram picos próximos a 30 Tbps antes de serem desmanteladas numa operação liderada pelos EUA. A preocupação dos pesquisadores é a direção: a combinação de Rust, anti-análise agressivo e criptografia moderna é exatamente o que outras gangues vão copiar.

Impacto real para o usuário brasileiro

O Brasil é um dos países com maior exposição a esse tipo de ameaça. Roteadores domésticos baratos de marcas que não lançam atualizações há anos são o alvo perfeito. Câmeras IP de segurança residencial e boxes Android de streaming frequentemente chegam com senhas padrão e interfaces de gerenciamento expostas. Um único roteador infectado passa a consumir banda extra, pode ter sua performance degradada e, o pior, participa de ataques que derrubam serviços sem que o dono saiba.

Empresas brasileiras que expõem Telnet ou SSH em servidores de borda, especialmente com credenciais fracas, estão igualmente vulneráveis. Conforme detalhamos no artigo sobre IoT e superfícies de ataque em dispositivos conectados, o problema é sistêmico: boa parte da infraestrutura IoT foi projetada sem patches como prioridade.

Como se proteger do RustDuck

Não existe patch específico para o RustDuck porque ele é malware, não uma falha. A defesa exige fechar as portas por onde ele entra:

  • Desative Telnet e SSH na interface WAN do roteador. Se precisar de acesso remoto, use VPN.
  • Troque senhas padrão de todos os dispositivos IoT — câmeras, roteadores, smart TVs.
  • Desative o ADB (Android Debug Bridge) em boxes e dispositivos Android expostos.
  • Substitua roteadores descontinuados sem suporte de atualização. A CISA recomenda retirar o D-Link DIR-823X de serviço — sem patch previsto.
  • Bloqueie os indicadores conhecidos: hashes, domínios C2 e IPs listados no relatório da XLab.
  • Atualize CouchDB, Jenkins e ThinkPHP se forem expostos à internet.

Padrão que se repete

O RustDuck não é o primeiro botnet a adotar Rust. Em abril de 2025, a Fortinet documentou o RustoBot, um botnet com linguagem e táticas similares que infectava roteadores Totolink. A diferença é a velocidade de evolução — em quatro meses, o RustDuck já passou por quatro versões do loader e uma reescrita completa do core. O endereço IP principal de propagação (176.65.139[.]204) compartilha o mesmo bloco de rede de um botnet DDoS separado que mirava interfaces ADB, relatado na primavera de 2026. A coincidência levanta a hipótese de hosting compartilhado entre operações distintas, como destacou a cobertura adicional do BitNewsBot.

Para quem acompanha o cenário de ataques DDoS e botnets, a lição é clara: o problema não é só o tamanho do botnet de hoje, mas a engenharia que ele testa e que outros vão replicar amanhã. Um botnet pequeno escrito em Rust com anti-análise agressivo é um laboratório de técnicas que vai aparecer em campanhas maiores nos próximos meses.

Referências