Advertencia: RustDuck Botnet se Reinventa para Atacar Routers y Servidores
Publicado el
Introducción a RustDuck
RustDuck es una botnet en ascenso que ha sido detectada por investigadores de QiAnXin's XLab desde febrero de 2026. Esta nueva amenaza tiene como objetivo secuestrar routers domésticos, cámaras IP, dispositivos Android y servidores mal protegidos, para formar una red destinada a realizar ataques de denegación de servicio distribuido (DDoS).
Propagación de RustDuck
La estrategia de propagación de RustDuck no se basa en un único método ingenioso, sino en una combinación de vulnerabilidades conocidas y la esperanza de que alguna funcione. Los atacantes aprovechan principalmente dispositivos expuestos a Internet con contraseñas débiles o por defecto en sus servicios de inicio de sesión remoto, como Telnet y SSH. Además, buscan fallos no parcheados en dispositivos, atacando interfaces de depuración de Android y vulnerabilidades en hardware de fabricantes como TP-Link y ZTE.
Entre las vulnerabilidades más destacadas que utiliza RustDuck se encuentran: - CVE-2017-17215: un fallo de ejecución remota de código en routers Huawei. - CVE-2025-29635: una inyección de comandos en routers D-Link. - CVE-2024-1781: un bug de inyección de comandos en routers Totolink. - CVE-2018-8007: un camino de ejecución remota en Apache CouchDB.
Características de RustDuck
RustDuck se distingue por su instalación en dos etapas: un pequeño cargador que descifra y despliega un módulo central más robusto, reescrito en Rust. Este cambio de C a Rust dificulta el análisis, ya que los binarios de Rust son más complejos de descomponer.
La botnet implementa un mecanismo de ocultación que la hace notablemente evasiva. Antes de ejecutar cualquier acción, RustDuck realiza una serie de comprobaciones para determinar si se encuentra en un entorno de investigación de seguridad. Busca herramientas de análisis y depuración, así como huellas de redes trampa, y toma decisiones en función de un puntaje de riesgo. Si supera un umbral, elimina sus huellas y se detiene.
Comunicación y Control
RustDuck cifra su tráfico usando cifrados modernos como ChaCha20-Poly1305 y AES-GCM, rotando las claves cada diez minutos. Los operadores pueden enviar órdenes a los dispositivos infectados, como iniciar o detener un ataque, cambiar servidores de control o actualizar el malware a una nueva versión. Utiliza direcciones de DNS dinámico como duckdns.org para facilitar el control.
Contexto de Amenazas
RustDuck se une a una creciente lista de botnets que emplean Rust. Un ejemplo anterior es RustoBot, que también utilizó este lenguaje para ataques DDoS. La preocupación por RustDuck no radica solo en su capacidad actual, sino en su posible evolución. El tráfico potencial que podría generar es alarmante, especialmente al considerar que el año 2026 ha sido brutal para los ataques DDoS, con botnets que alcanzaron picos de casi 30 Tbps.
Conclusión
La rápida evolución de RustDuck y su capacidad para adaptarse a nuevas circunstancias la convierten en una amenaza significativa para la seguridad de la red. Es crucial que las organizaciones y usuarios tomen medidas proactivas para asegurar sus dispositivos y mitigar el riesgo de ser víctimas de esta botnet emergente.