สรุปสั้น
มัลแวร์ตระกูลใหม่แบบสองขั้นที่ชื่อ RustDuck กำลังยึดเราเตอร์ตามบ้าน กล้อง IP กล่อง Android และเซิร์ฟเวอร์ที่ป้องกันไม่ดี แล้วเย็บรวมกันเป็นเครือข่ายที่สร้างขึ้นเพื่อทำให้เว็บไซต์และบริการออนไลน์ล่ม นักวิจัยจาก XLab ของบริษัท QiAnXin ได้ติดตามมันมาตั้งแต่เดือนกุมภาพันธ์ 2026 และระบุว่าเรื่องที่น่าสนใจไม่ใช่ขนาดของมันในวันนี้ แต่คือความเร็วในการเปลี่ยนแปลง เป้าหมายสุดท้ายของ RustDuck คือการโจมตีแบบ distributed denial-of-service (DDoS) คือการถล่มเป้าหมายด้วยทราฟฟิกขยะจากเครื่องที่ติดมัลแวร์จนกระทั่งระบบรับไม่ไหว RustDuck เป็นเพียงหนึ่งในบอตเน็ตจำนวนมากในสนามที่แออัด แต่โดดเด่นด้วยสองเหตุผล คือมันกำลังถูกเขียนใหม่จากภาษา C ไปเป็น Rust และเวอร์ชันใหม่ ๆ ทุ่มเทอย่างมากในการหลบเลี่ยงไม่ให้ถูกศึกษาหรือปิดกั้น
RustDuck ไม่ได้พึ่งเทคนิคเดียว แต่หว่านช่องโหว่เก่าที่รู้จักกันดีหลายตัวและหวังว่าจะมีสักตัวที่เจาะได้ ช่องทางแรกคือวิธีที่เก่าแก่ที่สุด นั่นคืออุปกรณ์ที่เปิดทิ้งไว้บนอินเทอร์เน็ตด้วยรหัสผ่านที่อ่อนแอหรือรหัสผ่านเริ่มต้นบนบริการล็อกอินระยะไกล (Telnet และ SSH) ช่องทางที่สองคือช่องโหว่ของอุปกรณ์ที่ยังไม่ได้แพตช์ และช่องทางที่สามคือซอฟต์แวร์เว็บ RustDuck ติดตั้งแบบสองขั้นตอน คือมีตัวโหลดขนาดเล็กที่ถอดรหัสและคลายโมดูลหลักที่หนักกว่า ซึ่งเป็นส่วนที่กำลังถูกเขียนใหม่ด้วย Rust ทำให้นักวิเคราะห์แยกส่วนได้ยากกว่าโค้ด C แบบเดิม สะท้อนว่ามีการพัฒนาอย่างต่อเนื่อง ไม่ใช่แค่เปลี่ยนหน้าตาจากโค้ดที่รั่วไหล
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 30 มิถุนายน 2569 ว่า XLab ได้ติดตาม RustDuck ที่พุ่งเป้าอินเทอร์เฟซดีบัก Android ที่เปิดเผยและช่องโหว่ในอุปกรณ์จาก TVT (เครื่องบันทึก DVR และกล้อง), Ruijie, TP-Link และ ZTE รวมถึงช่องโหว่เก่าแก่หลายปีที่ยังเกลื่อนอยู่บนอินเทอร์เน็ต ได้แก่ CVE-2017-17215 ช่องโหว่รันโค้ดจากระยะไกลในเราเตอร์ Huawei HG532 ที่บอตเน็ตสาย Mirai เคยใช้มาตั้งแต่ปี 2017, CVE-2025-29635 ช่องโหว่ command-injection ในเราเตอร์ D-Link DIR-823X ที่เลิกผลิตแล้ว ซึ่ง Akamai พบตัวแปร Mirai ใช้โจมตีในเดือนมีนาคม 2026 และ CISA ได้เพิ่มเข้าบัญชี Known Exploited Vulnerabilities ในเดือนถัดมา, CVE-2024-1781 ช่องโหว่ command-injection ในเราเตอร์ Totolink X6000R ที่ผู้ผลิตไม่เคยตอบสนองต่อการรายงาน และ CVE-2018-8007 ช่องทางรันโค้ดจากระยะไกลใน Apache CouchDB
นอกจากนี้ RustDuck ยังพุ่งเป้าช่องโหว่ที่รู้จักใน ThinkPHP, Jenkins และ Hadoop YARN ซึ่งขยายขอบเขตการเข้าถึงจากฮาร์ดแวร์ตามบ้านราคาถูกไปยังซอฟต์แวร์เซิร์ฟเวอร์ที่เปิดสู่สาธารณะ XLab นับได้ว่ามีที่อยู่ IP มากกว่า 20 แห่งที่แพร่กระจายมัลแวร์นี้ โดยที่อยู่ที่คึกคักที่สุดคือ 176.65.139[.]204
จุดที่ทำให้ RustDuck ยุ่งยากคือความพยายามหลบซ่อนตัวของแซมเปิลรุ่นใหม่ ก่อนจะทำอะไร RustDuck จะรันเช็กลิสต์เพื่อตัดสินว่ามันตกลงไปในแล็บของนักวิจัยความปลอดภัยแทนที่จะเป็นอุปกรณ์ของเหยื่อจริงหรือไม่ โดยมองหาเครื่องมือวิเคราะห์อย่าง Wireshark และ gdb มองหาดีบักเกอร์ที่แนบมากับโปรเซสของตัวเอง มองหาลายนิ้วมือของกับดัก honeypot และแม้แต่ฮาร์ดแวร์ virtual machine แต่ละครั้งที่ตรวจพบจะเพิ่มคะแนนความเสี่ยง หากเกินเกณฑ์ มัลแวร์จะลบร่องรอยและออกจากระบบก่อนที่ใครจะเฝ้าดูมันทำงานได้ การตรวจสองอย่างที่โดดเด่นคือ มันแอบพยายามติดต่อที่อยู่อินเทอร์เน็ตที่สงวนไว้สำหรับการทดสอบและไม่ควรมีการตอบกลับ หากมีอะไรตอบมา RustDuck จะรู้ว่าอยู่ในเครือข่ายปลอมที่สร้างขึ้นมาหลอกมัลแวร์และรีบถอนตัว อีกอย่างคือเปรียบเทียบนาฬิกาสองตัวเพื่อจับ sandbox ที่เร่งเวลาให้เร็วขึ้น
รายละเอียดเทคนิค
การสื่อสารของ RustDuck ถูกล็อกอย่างแน่นหนา โดยเข้ารหัสทราฟฟิกด้วยไซเฟอร์สมัยใหม่คือ ChaCha20-Poly1305 สำหรับการ handshake และ AES-GCM เมื่อเริ่มรับคำสั่ง มันสร้างคีย์ด้วย HKDF-SHA256 และการแลกเปลี่ยนแบบ Curve25519 หมุนเวียนคีย์ทุก 10 นาที และแต่งการเชื่อมต่อให้ดูเหมือนทราฟฟิกเว็บที่เข้ารหัสธรรมดาเพื่อให้กลมกลืน เมื่ออุปกรณ์เช็กอินเข้ามา ผู้ควบคุมสามารถสั่งงานสั้น ๆ ได้แก่ เริ่มโจมตี หยุด รายงานสถานะ สลับไปเซิร์ฟเวอร์ควบคุมใหม่ หรือแอบอัปเกรดมัลแวร์เป็นรุ่นใหม่ ที่อยู่ควบคุมอาศัยบริการ dynamic-DNS ฟรีอย่าง duckdns.org ซึ่งเป็นที่มาของคำว่า “Duck” ในชื่อ RustDuck ไม่ใช่บอตเน็ตตัวแรกที่หันมาใช้ Rust โดยในเดือนเมษายน 2025 Fortinet เคยบันทึก RustoBot บอตเน็ตที่ใช้ Rust และแพร่ผ่านเราเตอร์ Totolink เพื่อทำ DDoS ด้วยสูตรเดียวกัน คือเราเตอร์ราคาถูก ภาษาสมัยใหม่ และทราฟฟิกถล่มตามสั่ง
ผลกระทบต่อไทย
ประเทศไทยมีอุปกรณ์ IoT ทั้งเราเตอร์บ้าน กล้องวงจรปิด และ DVR จำนวนมหาศาลที่เชื่อมต่ออินเทอร์เน็ต ซึ่งจำนวนไม่น้อยยังใช้รหัสผ่านเริ่มต้น เปิด Telnet/SSH ทิ้งไว้ หรือเป็นอุปกรณ์รุ่นเก่าที่หมดการสนับสนุนและไม่มีแพตช์ อุปกรณ์เหล่านี้คือเป้าหมายโดยตรงของ RustDuck ที่อาจถูกยึดไปเป็นส่วนหนึ่งของบอตเน็ต DDoS โดยเจ้าของไม่รู้ตัว นอกจากจะทำให้เครือข่ายในบ้านหรือองค์กรช้าลงและถูกใช้เป็นเครื่องมือโจมตีผู้อื่นแล้ว ยังอาจทำให้ IP ขององค์กรถูกขึ้นบัญชีดำ ยิ่งไปกว่านั้น ช่องโหว่ในซอฟต์แวร์เซิร์ฟเวอร์อย่าง Apache CouchDB, Jenkins และ ThinkPHP ที่ RustDuck โจมตี ก็เป็นเทคโนโลยีที่องค์กรไทยใช้งานจริง ทำให้ความเสี่ยงขยายจากอุปกรณ์ปลายทางไปถึงเซิร์ฟเวอร์ขององค์กร
คำแนะนำ
ไม่มีแพตช์สำหรับ RustDuck โดยตรงเพราะมันเป็นมัลแวร์ ไม่ใช่ช่องโหว่เดียว การป้องกันคือการปิดประตูที่มันใช้เดินเข้ามา เริ่มจากนำอินเทอร์เฟซบริหารจัดการระยะไกลออกจากอินเทอร์เน็ตสาธารณะ ปิด Android Debug Bridge, Telnet และ SSH ในจุดที่ไม่จำเป็น และห้ามเปิดทิ้งไว้ด้วยรหัสผ่านเริ่มต้นเด็ดขาด ควรแพตช์สิ่งที่แพตช์ได้และเปลี่ยนสิ่งที่แพตช์ไม่ได้ เช่น CouchDB มีเวอร์ชันที่แก้ไขแล้ว แต่เราเตอร์บางรุ่นหมดอายุการสนับสนุน ซึ่งสำหรับ D-Link DIR-823X นั้น CISA แนะนำให้ถอดออกจากการใช้งานแทนที่จะรอแพตช์ที่จะไม่มีวันมา อุปกรณ์ที่หมดการสนับสนุนต้องเปลี่ยนใหม่ ไม่ใช่ซ่อม สุดท้ายควรบล็อก indicator ที่รู้จัก โดยนำ file hash โดเมนควบคุม และที่อยู่ต้นทางที่ XLab เผยแพร่ ป้อนเข้าระบบเฝ้าระวัง
Indicators of Compromise (IoCs)
หมายเหตุ: indicator ด้านล่างถูก defang ไว้เพื่อความปลอดภัย
| ประเภท | Indicator | รายละเอียด |
|---|---|---|
| IP (Distribution) | 176.65.139[.]204 | ที่อยู่แพร่มัลแวร์ที่คึกคักที่สุด |
| บริการ C2 | duckdns.org (dynamic-DNS ฟรี) | ช่องทางเซิร์ฟเวอร์ควบคุม |
| CVE | CVE-2017-17215 | RCE เราเตอร์ Huawei HG532 |
| CVE | CVE-2025-29635 | command-injection D-Link DIR-823X |
| CVE | CVE-2024-1781 | command-injection Totolink X6000R |
| CVE | CVE-2018-8007 | RCE Apache CouchDB |
