🛡️ Executive Summary
- RustDuck è una botnet DDoS scritta in Rust, progettata con architettura loader-core per adattarsi rapidamente a più piattaforme.
- Il malware sfrutta dispositivi IoT, password deboli e vulnerabilità RCE in server e applicazioni web per propagarsi su larga scala.
- Il C2 usa Noise Protocol, Curve25519, ChaCha20 e AES-GCM, rendendo difficile intercettazione, replay e analisi del traffico.
La botnet RustDuck conferma l’evoluzione tecnica delle minacce DDoS moderne, sempre più lontane dai malware compilati rapidamente in C e sempre più vicine a piattaforme modulari, cross-platform e resilienti all’analisi. Analizzata dai ricercatori di Qi An Xin XLab, RustDuck utilizza un’architettura a due stadi composta da un loader leggero e da un core principale scritto in Rust, linguaggio scelto per prestazioni, portabilità e maggiore complessità nel reverse engineering. Il nome deriva proprio dall’uso di Rust e dai primi domini DuckDNS impiegati come server di comando e controllo. La botnet prende di mira dispositivi IoT, router, telecamere, server e applicazioni web vulnerabili, combinando brute force su Telnet e SSH con exploit RCE noti. Una volta installata, può lanciare attacchi DDoS misti, aggiornarsi dinamicamente e comunicare con il C2 attraverso un protocollo cifrato avanzato basato su Noise Protocol Framework e Curve25519.
Cosa leggere
Architettura loader-core e protezione del payload
Il primo elemento distintivo di RustDuck è la separazione tra loader e core. Il loader contiene solo il codice necessario a caricare, decrittare e decomprimere il payload principale, collocato come overlay alla fine del file ELF insieme alla configurazione. Questa configurazione include chiave di decrittazione, dimensione compressa, dimensione decompressa e valore magic per la verifica di integrità. I ricercatori hanno individuato almeno quattro varianti del loader, ciascuna con tecniche differenti. La prima usa un generatore pseudo-casuale LCG combinato con XOR e decompressione LZ4. La seconda introduce Xoshiro128, decompressione BLZ e costanti hard-coded dinamiche. La terza torna a XOR e LZ4 con magic fissa ASHPCK\x01\x00, mentre la quarta adotta ChaCha20, mantiene LZ4 e utilizza la magic iEMPK\x02\x00\x00. Questa progressione mostra uno sviluppo attivo e un continuo rafforzamento contro analisi statica, unpacking automatico e rilevamento basato su firme.
Propagazione tramite IoT, password deboli e vulnerabilità RCE
La botnet si diffonde attraverso una catena multi-vettore pensata per massimizzare la superficie di infezione. I bersagli principali sono dispositivi IoT esposti con credenziali deboli su Telnet e SSH, ma la campagna include anche lo sfruttamento di vulnerabilità remote in applicazioni web e server. Tra le tecnologie prese di mira figurano ThinkPHP, Jenkins, YARN, Android ADB, TVT API, dispositivi Ruijie, TP-Link e ZTE. Le vulnerabilità citate nelle analisi includono CVE-2025-29635, CVE-2017-17215, CVE-2018-8007 e CVE-2024-1781, segnalando una strategia che combina bug recenti e flaw storici ancora presenti in ambienti non aggiornati. L’indirizzo 176.65.139.204 risulta tra i più attivi nella propagazione, all’interno di un’infrastruttura composta da oltre 20 indirizzi IP utilizzati per distribuire i payload. Una volta compromesso il sistema, il loader avvia il core e integra il nuovo nodo nella rete DDoS.
C2 cifrato con Noise Protocol e Curve25519

Il canale di comando e controllo rappresenta la parte più sofisticata di RustDuck. La botnet utilizza il Noise Protocol Framework con pattern IK e curva Curve25519 per lo scambio delle chiavi. La derivazione avviene tramite HKDF-SHA256 e combina una chiave dinamica basata sull’ora UTC, aggiornata ogni dieci minuti per prevenire replay attack, con uno scambio asimmetrico che garantisce forward secrecy. Durante la fase di handshake il client invia una chiave pubblica effimera da 32 byte, riceve la chiave pubblica del server e deriva il segreto condiviso. Seguono messaggi di verifica, conferma tramite HMAC, assegnazione di un botid da 64 byte e ack finale. La prima fase usa ChaCha20, mentre il loop dei comandi introduce un header magic simile a SSL e passa ad AES-GCM con chiavi distinte per uplink e downlink. Questa struttura rende complessa l’analisi del traffico, riduce l’efficacia delle firme di rete e rende più difficile simulare un C2 per sinkhole o ricerca difensiva.
Tecniche anti-analisi con punteggio dinamico del rischio

RustDuck implementa un sistema anti-analisi basato su punteggio. Il malware esegue controlli multipli sull’ambiente e accumula punti di rischio; se la soglia viene superata, termina l’esecuzione e prova a cancellare le tracce. I controlli includono la ricerca di processi associati a Wireshark, tcpdump, GDB, IDA, Frida e x64dbg, la verifica del campo TracerPid in /proc/self/status, la scansione di /proc/self/maps per rilevare librerie di instrumentazione e il controllo del checksum SHA256 del file per individuare modifiche. Il malware cerca inoltre indizi di honeypot come Cowrie e Dionaea, parole chiave tipiche di sandbox nell’environment, anomalie temporali tra gettimeofday e clock_gettime, MAC address e hardware associati a macchine virtuali. Questo approccio multilivello consente a RustDuck di adattarsi dinamicamente al contesto di esecuzione, evitando comportamenti sospetti in ambienti di analisi.
Capacità DDoS, aggiornamenti hot e impatto operativo
La funzione principale di RustDuck resta l’esecuzione di attacchi DDoS distribuiti su larga scala. I comandi ricevuti dal C2 permettono di avviare flood misti, interrompere campagne in corso, modificare parametri operativi, inviare lo stato del sistema e aggiornare i domini di comando e controllo. Il meccanismo di aggiornamento hot consente di scaricare e sostituire il campione in esecuzione senza riavvio, accelerando l’evoluzione della botnet e la distribuzione di nuove funzionalità. L’uso di Rust, l’architettura loader-core, la crittografia avanzata e le difese anti-analisi rendono RustDuck una delle implementazioni più strutturate tra le botnet DDoS recenti. Per le organizzazioni, la mitigazione passa da una combinazione di patching tempestivo, rimozione delle credenziali deboli su dispositivi IoT, blocco degli accessi amministrativi esposti, monitoraggio dei tentativi Telnet e SSH anomali e rilevamento di traffico cifrato persistente verso infrastrutture sospette. La minaccia dimostra che il mercato DDoS criminale sta adottando tecniche sempre più vicine al malware enterprise-grade, con una capacità crescente di resistere a reverse engineering, sinkholing e interruzione dell’infrastruttura C2.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









