Una nueva familia de malware de dos etapas llamada Pato óxido está secuestrando enrutadores domésticos, cámaras IP, dispositivos Android y servidores mal protegidos, para luego unirlos en una red creada para desconectar sitios web y servicios en línea.
Los investigadores del XLab de QiAnXin lo han rastreado desde febrero de 2026 y dicen que la verdadera historia no es qué tan grande es hoy, sino qué tan rápido está cambiando.
El objetivo final es un ataque distribuido de denegación de servicio (DDoS): inundar un objetivo con tráfico basura desde las máquinas infectadas hasta que colapse.
RustDuck es un participante más en un campo abarrotado, pero se destaca por dos razones. Se está reescribiendo del lenguaje de programación C a Rust, y sus versiones más nuevas hacen todo lo posible para evitar ser estudiadas o cerradas.
como se propaga
RustDuck no se apoya en ningún truco inteligente. Esparce una mezcla de viejas y conocidas debilidades y esperanzas de que una se mantenga. El primero es el más antiguo del libro: dispositivos abandonados en Internet con contraseñas débiles o predeterminadas en sus servicios de inicio de sesión remoto (Telnet y SSH). Adivina la contraseña y entra.
El segundo son los errores de dispositivos sin parchear. XLab dice que RustDuck busca interfaces de depuración de Android expuestas y fallas en equipos de TVT (DVR y cámaras), Ruijie, TP-Link y ZTE, además de un puñado de vulnerabilidades nombradas con años de antigüedad que aún llenan Internet:
El tercer camino es el software web. RustDuck también apunta a agujeros conocidos en ThinkPHP, Jenkins y Hadoop YARN, que extiende su alcance desde hardware doméstico barato hasta software de servidor expuesto.
XLab contó más de 20 direcciones de Internet que propagaban el malware, siendo la más ocupada 176.65.139(.)204.
¿Qué lo hace complicado?
RustDuck se instala en dos etapas: un pequeño cargador que descifra y descomprime un módulo central más pesado. Ese núcleo es donde vive la ingeniería interesante y es la parte que se está reescribiendo en Rust.
Los binarios de Rust son generalmente más difíciles de desarmar para los analistas que el C que ha impulsado el malware de dispositivos durante años, y XLab dice que el núcleo Rust de RustDuck muestra una profundidad real en cómo deriva sus claves, se oculta del análisis y se comunica con sus servidores. El cambio apunta a un desarrollo activo, no a una rápida renovación del código filtrado.
Lo más importante es lo duro que trabajan las muestras más nuevas para permanecer ocultas. Antes de hacer cualquier cosa, RustDuck ejecuta una lista de verificación para decidir si ha aterrizado en el laboratorio de un investigador de seguridad en lugar de en el dispositivo de una víctima real. Busca herramientas de análisis como Wireshark y gdb, depuradores adjuntos a su propio proceso, huellas dactilares de una trampa de honeypot, incluso hardware de máquina virtual.

Cada golpe suma puntos a una puntuación de riesgo. Cruza un umbral y el malware borra sus rastros y se cierra antes de que alguien pueda verlo ejecutarse.
Destacan dos de esos controles. Uno intenta silenciosamente llegar a una dirección de Internet que está reservada para pruebas y nunca debería responder; Si algo responde, RustDuck sabe que está dentro de una red falsa creada para engañar al malware y se retira.
Otro compara dos relojes para detectar zonas de pruebas que aceleran el tiempo para acelerar el malware y hacer que muestre su mano.
Sus comunicaciones están bloqueadas para coincidir. RustDuck cifra su tráfico con cifrados modernos: ChaCha20-Poly1305 para el protocolo de enlace, AES-GCM una vez que esté recibiendo comandos. Obtiene sus claves con HKDF-SHA256 y un intercambio Curve25519, las rota cada diez minutos y viste la conexión para que parezca tráfico web cifrado normal para que se mezcle.
Una vez que un dispositivo se registra, los operadores pueden enviar una breve lista de órdenes: iniciar un ataque, detenerlo, informar el estado, cambiar a nuevos servidores de control o actualizar silenciosamente el malware a una versión más nueva. Las direcciones de control se basan en servicios gratuitos de DNS dinámico como duckdns.org, de donde proviene el “Duck” en el nombre.
Esto se ajusta a un patrón más grande.
RustDuck no es la primera botnet que recurre a Rust. En abril de 2025, Fortinet documentó RustoBot, una botnet basada en Rust que se propagó a través de Totolink y otros enrutadores para ejecutar ataques DDoS, utilizando la misma receta: enrutadores baratos, un lenguaje moderno y tráfico inundado bajo demanda.
Llega además en un año brutal para los DDoS. El mismo tipo de botnet, ampliado, ha producido las mayores inundaciones jamás registradas. AISURU y un grupo de botnets relacionados, más de tres millones de dispositivos secuestrados entre ellos, impulsaron ataques de cerca de 30 Tbps antes de que una operación liderada por Estados Unidos derribara su infraestructura esta primavera. Además de eso, RustDuck es pequeño. La preocupación es la dirección en la que se dirige.
Un detalle que merece una segunda mirada: la dirección de entrega más ocupada de RustDuck, 176.65.139(.)204, se encuentra en el mismo pequeño bloque de direcciones que el servidor detrás de una botnet DDoS dirigida a ADB separada reportada en la primavera de 2026. Eso podría ser una coincidencia o un alojamiento compartido a prueba de balas, y XLab no vincula los dos, pero la superposición es el tipo de cosas que vale la pena verificar.
que hacer
No existe ningún parche para RustDuck en sí, porque es malware, ni un solo error. Defensa significa cerrar las puertas por las que pasa:
- Obtenga interfaces de administración remota fuera de la Internet pública. Desactive Android Debug Bridge, Telnet y SSH cuando no sean necesarios y nunca los deje accesibles con contraseñas predeterminadas.
- Parchea lo que puedas, reemplaza lo que no puedas. CouchDB tiene versiones fijas para actualizar, pero algunos de estos enrutadores ya no están disponibles. Para el D-Link DIR-823X, el consejo de CISA es retirarlo del servicio en lugar de esperar a que llegue un parche que no llega, y el fabricante de Totolink nunca respondió a la divulgación. El equipo sin soporte debe reemplazarse, no repararse.
- Bloquea los indicadores conocidos. El informe de XLab enumera los hashes de archivos, los dominios de control y las direcciones de origen del malware; introdúzcalos en su seguimiento.
RustDuck es una pequeña botnet que tiene la ingeniería de una red seria. Ya sea que se convierta en una amenaza real o desaparezca, las técnicas que está probando, una reescritura de Rust y una rutina paranoica de esconderse de los investigadores, son las partes que es más probable que tomen prestadas otras tripulaciones.



