Un botnet en pleine mutation
Depuis février 2026, les chercheurs de la société chinoise XLab, une division de QiAnXin, surveillent un nouveau botnet baptisé RustDuck. Ce logiciel malveillant se spécialise dans le détournement de routeurs domestiques, de caméras IP, de boîtiers Android et de serveurs mal sécurisés. L’objectif est d’intégrer ces appareils à un réseau de machines zombies capables de lancer des attaques par déni de service distribué (DDoS).
Une architecture en deux temps
RustDuck repose sur une structure particulière : un petit chargeur est d’abord exécuté pour déchiffrer et décompresser un module central bien plus volumineux, où résident la majorité des capacités offensives. Ce module central a été entièrement réécrit dans le langage de programmation Rust, un choix rare pour un botnet. Selon les analystes, cette réécriture vise à compliquer l’analyse du code et à échapper plus facilement aux mécanismes de détection traditionnels.
Des vecteurs d’infection multiples
Pour se propager, RustDuck combine plusieurs méthodes. Il pratique le brute-force des mots de passe faibles ou par défaut sur les services d’accès distant Telnet et SSH. Il exploite également les interfaces de débogage Android exposées sur Internet, un outil officiel de Google souvent laissé accessible sans protection par certains fabricants. Enfin, le botnet s’appuie sur des vulnérabilités connues mais toujours présentes sur des équipements non mis à jour :
- CVE-2017-17215, qui cible les routeurs Huawei HG532, déjà utilisée par des variantes de Mirai ;
- CVE-2025-29635, affectant les routeurs D-Link DIR-823X ;
- CVE-2024-1781, visant les routeurs Totolink X6000R ;
- CVE-2018-8007, une faille d’exécution de code à distance sur Apache CouchDB.
À cela s’ajoutent des failles ciblant des équipements des marques TVT, Ruijie, TP-Link et ZTE, ainsi que des logiciels serveurs tels que ThinkPHP, Jenkins et Hadoop YARN. Cette diversité de cibles étend la portée du malware des appareils grand public jusqu’aux infrastructures d’entreprise.
Une infrastructure en expansion
D’après les recherches de XLab, plus d’une vingtaine d’adresses IP participent à la diffusion de RustDuck. La plus active est l’adresse 176.65.139.204. Le botnet continue d’évoluer et ses développeurs intègrent régulièrement de nouvelles techniques pour contourner les défenses. Les spécialistes appellent les administrateurs à renforcer la sécurité de leurs équipements en modifiant les mots de passe par défaut, en désactivant les services inutiles exposés sur Internet et en appliquant les correctifs de sécurité disponibles.