RustDuck setzt nach Angaben von XLab auf drei Zugangswege. Der erste ist der einfachste: Geräte, die mit schwachen oder Standard-Passwörtern über Telnet oder SSH aus dem Internet erreichbar sind. Der zweite Weg führt über ungepatchte Schwachstellen. Laut XLab greift die Malware offen erreichbare Android-Debugging-Schnittstellen sowie Fehler in Geräten von TVT, Ruijie, TP-Link und ZTE an. Hinzu kommen mehrere namentlich genannte, teils Jahre alte Schwachstellen, die laut den Forschern weiterhin massenhaft im Internet auffindbar sind.
Der dritte Vektor zielt auf Web-Software. RustDuck attackiert zudem bekannte Lücken in ThinkPHP, Jenkins und Hadoop YARN. Damit reicht das Zielspektrum von günstiger Heim-Hardware bis hin zu exponierter Server-Software. XLab identifizierte mehr als 20 Adressen, über die die Malware verbreitet wird; die aktivste war 176.65.139[.]204.
Technisch arbeitet RustDuck in zwei Stufen. Zunächst wird ein kleiner Loader installiert, der anschließend ein größeres Kernmodul entschlüsselt und entpackt. Genau dieses Kernmodul wird derzeit nach XLab-Beobachtungen in Rust neu umgesetzt. Die Forscher werten den Sprachwechsel als Zeichen aktiver Weiterentwicklung und nicht als bloße Überarbeitung geleakten Codes. Sie verweisen darauf, dass die Rust-Komponente bei Schlüsselerzeugung, Verschleierung vor Analysen und der Kommunikation mit den Kontrollservern deutlich ausgearbeitet sei.
Besonders auffällig sind die Schutzmechanismen gegen Analyse. Bevor RustDuck aktiv wird, prüft die Malware, ob sie auf einem realen Zielsystem oder in der Umgebung von Sicherheitsforschern gelandet ist. Gesucht wird unter anderem nach Werkzeugen wie Wireshark und gdb, nach an den eigenen Prozess angehängten Debuggern, nach Merkmalen von Honeypots und sogar nach Virtualisierungs-Hardware. Jeder Treffer erhöht einen Risikowert; wird ein Schwellenwert überschritten, löscht RustDuck seine Spuren und beendet sich.
XLab hebt zwei dieser Prüfungen besonders hervor. Eine testet unauffällig den Zugriff auf eine für Testzwecke reservierte Internetadresse, die eigentlich nie antworten sollte. Kommt dennoch eine Antwort, wertet die Malware das als Hinweis auf ein künstliches Netzwerk zur Täuschung von Schadsoftware und bricht ab. Eine weitere Prüfung vergleicht zwei Zeitquellen, um Sandboxes zu erkennen, die den Zeitablauf beschleunigen, damit Malware schneller ihr Verhalten offenlegt.
Auch die Kommunikation ist abgesichert. Für den Verbindungsaufbau verwendet RustDuck laut XLab ChaCha20-Poly1305, für die anschließende Befehlsübertragung AES-GCM. Die Schlüssel werden mit HKDF-SHA256 und einem Curve25519-Austausch abgeleitet und alle zehn Minuten gewechselt. Der Datenverkehr wird dabei so gestaltet, dass er wie gewöhnlicher verschlüsselter Web-Verkehr aussieht. Nach der Anmeldung eines Geräts können die Betreiber Angriffe starten oder stoppen, Statusberichte anfordern, neue Kontrollserver vorgeben oder die Malware unauffällig auf eine neuere Version aktualisieren. Als Kontrolladressen kommen unter anderem kostenlose Dynamic-DNS-Dienste wie duckdns.org zum Einsatz.
XLab ordnet RustDuck in einen größeren DDoS-Kontext ein. Fortinet hatte im April 2025 mit RustoBot bereits ein Rust-basiertes Botnetz beschrieben, das sich über Totolink- und andere Router verbreitete, um DDoS-Angriffe auszuführen. Zudem verwiesen die Forscher auf AISURU und verbundene Botnetze, die zusammen mehr als drei Millionen gekaperte Geräte umfassten und Angriffe von fast 30 Tbit/s erzeugten, bevor eine von den USA geführte Operation ihre Infrastruktur in diesem Frühjahr zerschlug. RustDuck sei im Vergleich dazu klein, schrieb XLab, interessant sei vor allem die Richtung, in die es sich entwickle.
Einen weiteren möglichen Zusammenhang erwähnt XLab vorsichtig: Die aktivste Verteiladresse 176.65.139[.]204 liegt im selben kleinen Adressblock wie der Server eines separaten, auf ADB zielenden DDoS-Botnetzes, über das im Frühjahr 2026 berichtet wurde. XLab zieht daraus keine direkte Verbindung und nennt auch die Möglichkeit eines Zufalls oder gemeinsam genutzten bulletproof Hostings.
