Una nueva familia de malware de dos etapas llamada RustDuck secuestra enrutadores domésticos, cámaras IP, dispositivos Android y servidores mal protegidos, incorporándolos a redes creadas para desconectar sitios web y servicios en línea.
Los investigadores del XLab de QiAnXin lo han estado siguiendo desde febrero de 2026 y dicen que la verdadera historia no es qué tan grande es hoy, sino qué tan rápido está cambiando.
El objetivo final es un ataque distribuido de denegación de servicio (DDoS). Esto significa que el objetivo se ve inundado con tráfico basura desde la máquina infectada y atacado hasta que se desactiva.
RustDuck es otro participante en un campo abarrotado, pero se destaca por dos razones. Fue reescrito del lenguaje de programación C a Rust, y la nueva versión hace todo lo posible para evitar el escrutinio y el cierre.
¿Cómo se propaga?
RustDuck no se basa en ningún truco inteligente. Reúne una combinación de debilidades conocidas desde hace mucho tiempo y espera que una se mantenga. El primero es el más antiguo del libro. Los dispositivos se quedan en Internet con contraseñas débiles o predeterminadas configuradas para servicios de inicio de sesión remoto (Telnet y SSH). Adivina la contraseña y entra.
El segundo es un error de dispositivo sin parchear. XLab dice que RustDuck rastrea las interfaces de depuración de Android expuestas y fallas en los equipos de TVT (DVR y cámaras), Ruijie, TP-Link y ZTE, así como varias vulnerabilidades nombradas de hace años que todavía están dispersas por Internet.
El tercer camino es el software web. RustDuck también apunta a agujeros conocidos en ThinkPHP, Jenkins y Hadoop YARN, ampliando su alcance desde hardware doméstico barato hasta software de servidor disponible públicamente.
XLab contó más de 20 direcciones de Internet que propagaban malware, siendo la dirección más ocupada 176.65.139(.)204.
que es dificil
RustDuck se instala en dos etapas. Uno es un pequeño cargador que descifra y descomprime los módulos centrales más pesados. Ese núcleo es donde reside la ingeniería interesante y es la parte que se reescribe en Rust.
Los binarios de Rust son generalmente más difíciles de desmontar para los analistas que C, que ha dominado el malware de dispositivos durante años, y XLab dice que el núcleo Rust de RustDuck muestra una profundidad real en cómo obtiene claves, las oculta del análisis y se comunica con los servidores. Este cambio indica un desarrollo activo en lugar de una rápida renovación del código filtrado.
Más importante aún, ¿con qué dificultad se mantienen ocultas las nuevas muestras? Antes de que RustDuck haga algo, ejecuta una lista de verificación para determinar si terminó en el laboratorio de un investigador de seguridad en lugar del dispositivo de la víctima real. Busque herramientas de análisis como Wireshark y gdb, depuradores adjuntos a sus propios procesos, huellas dactilares de trampas de honeypot e incluso hardware de máquinas virtuales.
Cada golpe suma puntos a su puntuación de riesgo. Una vez que se excede el umbral, el malware borra sus rastros y sale antes de que se pueda monitorear su ejecución.
Destacan dos de los cheques. Intenta acceder silenciosamente a direcciones de Internet reservadas para pruebas y nunca debería responder. Cuando algo responde, RustDuck sabe que está dentro de una red falsa creada para engañar al malware y rescatarlo.
Otro ejemplo es comparar dos relojes para capturar el espacio aislado y reducir el tiempo que tarda el malware en ingresar.
Esa comunicación está bloqueada para coincidir. RustDuck cifra su tráfico utilizando los cifrados más recientes. ChaCha20-Poly1305 se utiliza para el protocolo de enlace y AES-GCM se utiliza para recibir comandos. Utiliza los intercambios HKDF-SHA256 y Curve25519 para obtener las claves, las rota cada 10 minutos y viste la conexión como tráfico web cifrado normal para integrarse.
Una vez que un dispositivo se registra, un operador puede enviar una breve lista de instrucciones, como iniciar un ataque, detenerlo, informar el estado, cambiar a un nuevo servidor de control o actualizar silenciosamente el malware a una nueva versión. Esta dirección de control aprovecha servicios DNS dinámicos gratuitos como duckdns.org, de donde proviene el «Duck» en el nombre.
Esto se aplica a un patrón más grande.
RustDuck no es la primera botnet que llega a Rust. En abril de 2025, Fortinet documentó RustoBot, una botnet basada en Rust. RustoBot se propagó a través de Totolink y otros enrutadores, utilizando la misma receta (enrutadores baratos, lenguajes modernos, inundación de tráfico bajo demanda) para realizar ataques DDoS.
También ha sido un año difícil para DDoS. El mismo tipo de botnet creció en tamaño y provocó la mayor inundación de la historia. AISURU y su grupo asociado de botnets, con más de 3 millones de dispositivos secuestrados entre ellos, alcanzaron velocidades de ataque de casi 30 Tbps antes de que una operación liderada por Estados Unidos destruyera su infraestructura esta primavera. RustDuck al lado es pequeño. Lo que me preocupa es su dirección.
Hay un detalle que vale la pena revisar. La dirección de entrega más ocupada de RustDuck, 176.65.139(.)204, se encuentra en el mismo pequeño bloque de direcciones que los servidores detrás de otra botnet DDoS dirigida a ADB reportada en la primavera de 2026. Esto podría ser una coincidencia o un alojamiento compartido a prueba de balas, y XLab no vincula los dos, pero vale la pena verificar la superposición.
que hacer
RustDuck en sí es malware y ni un solo error, por lo que no existe un parche para ello. Defensa significa cerrar la puerta por la que puede pasar un intruso.
Obtenga una interfaz de gestión remota desde la Internet pública. Si no necesita Android Debug Bridge, Telnet o SSH, desactívelos y no los deje accesibles con contraseñas predeterminadas. Parchea lo que puedas y reemplaza lo que no puedas. Aunque CouchDB tiene versiones corregidas para actualizar, algunos de estos enrutadores ya no son compatibles. Para D-Link DIR-823X, el consejo de CISA es sacarlo de servicio en lugar de esperar a un parche que nunca llega. El fabricante de Totolink no respondió a esta divulgación. Los equipos sin soporte deben reemplazarse en lugar de repararse. Bloquear indicadores conocidos. El informe de XLab enumera el hash del archivo del malware, el dominio de control y la dirección de origen. Introdúzcalos en su seguimiento.
RustDuck es una pequeña botnet con ingeniería de botnets completa. Ya sea que se convierta en una amenaza real o desaparezca, las técnicas que está probando, las reescrituras de Rust y las rutinas ocultas de los investigadores paranoicos son las partes que probablemente tomarán prestadas otras tripulaciones.
Source link
