נתב ביתי, מצלמת IP או ממיר טלוויזיה נראים כמו ציוד שולי ובלתי מזיק — וזו בדיוק הטעות שעליה נשען דור חדש של בוטנטים. משפחת נוזקה חדשה בשם RustDuck, שחוקרי XLab של QiAnXin עוקבים אחריה מאז פברואר 2026, משתלטת על נתבים ביתיים, מצלמות IP, מכשירי אנדרואיד ושרתים מוגנים בצורה רופפת ומחברת אותם לרשת אחת שנועדה למטרה אחת: מתקפת מניעת שירות מבוזרת (DDoS) — הצפת יעד בתעבורת זבל עד שהוא קורס. העניין המרכזי אינו הגודל הנוכחי של הרשת, אלא הקצב שבו היא משתכללת: הליבה נכתבת מחדש משפת C לשפת Rust והגרסאות החדשות משקיעות מאמץ חריג בהסתרה עצמית.
הסיכונים מתחילים כבר בשלב ההדבקה, הנשען על שלושה מסלולים מקבילים. הראשון והישן ביותר: מכשירים שנותרו חשופים לאינטרנט עם שירותי כניסה מרחוק (Telnet ו‑ SSH) המוגנים בסיסמאות חלשות או בסיסמאות ברירת מחדל. השני: ניצול פגיעויות ישנות שטרם תוקנו — ממשקי ניפוי (ADB) חשופים וכן, חולשות בציוד של יצרנים כמו TVT, Ruijie, TP‑Link ו‑ ZTE, לצד פגמים בני שנים שעדיין נפוצים ברשת, בהם חולשה בנתבי Huawei HG532, בנתבי D‑Link DIR‑823X שכבר אינם נתמכים (וש‑ CISA כללה ברשימת הפגיעויות המנוצלות שלה), בנתבי Totolink X6000R שהיצרן מעולם לא הגיב לדיווח עליהם, וב‑ Apache CouchDB. המסלול השלישי הוא תוכנת שרת חשופה — ThinkPHP, Jenkins ו‑ Hadoop YARN — שמרחיב את טווח הפגיעה מחומרה ביתית זולה אל שרתים ארגוניים.
מה שהופך את RustDuck למאתגר במיוחד הוא שכבת ההתחמקות. לפני שהוא פועל, הוא מריץ רשימת בדיקות כדי לקבוע אם נחת במעבדת חוקרי סייבר במקום על מכשיר קורבן: הוא מחפש כלי ניתוח כמו Wireshark ו‑ gdb, מנגנוני ניפוי, טביעות אצבע של מלכודות והרצה בסביבה וירטואלית ואף פונה לכתובת אינטרנט השמורה לבדיקות ואמורה שלא להגיב — ואם משהו עונה, הוא מבין שהוא בתוך רשת מזויפת ונמלט תוך מחיקת עקבותיו. התקשורת שלו נעולה באמצעות הצפנה מודרנית (ChaCha20‑Poly1305 ו‑ AES‑GCM), עם החלפת מפתחות כל עשר דקות והסוואה כתעבורת אינטרנט רגילה, בעוד שרתי השליטה נשענים על שירותי DNS דינמי חינמיים — מקור השם "Duck". כל אלו מקשים במכוון על זיהוי וחסימה.
ההשלכה המעשית כפולה: המכשיר שלכם עלול להתגייס לרשת התקיפה בלי ידיעתכם — לצרוך משאבים, לפגוע במוניטין שלכם ואף לחשוף אתכם לאחריות כשמתקפה יוצאת מכתובת שלכם — ובמעלה הזרם, שירות מקוון כלשהו קורס תחת ההצפה. כדי לסבר את האוזן: בוטנטים מאותו סוג, בקנה מידה גדול, הניבו את מתקפות ההצפה הגדולות שתועדו אי פעם — קרוב ל‑ 30 טרה‑ביט לשנייה — לפני שתשתיתם פורקה במבצע בהובלה אמריקאית. RustDuck עדיין קטן, אך הטכניקות שהוא בוחן הן בדיוק אלו שקבוצות סייבר אחרות נוטות לאמץ.
מכיוון שאין "טלאי" לנוזקה עצמה, ההגנה מבוססת על סגירת הדלתות שדרכן היא נכנסת — וכאן נכנס לתמונה ספק אבטחת מידע מנוהל. בשירות עדכוני תוכנה ואבטחה ניתן למפות את הציוד הפגיע והמיושן ברשת, לעדכן רכיבים שקיים להם תיקון (כמו CouchDB) ולהחליף ציוד שאינו נתמך עוד — לגבי DIR‑823X, למשל, המלצת CISA היא להוציאו משירות ולא להמתין לתיקון שלא יגיע. במקביל נדרשת הקשחה: הוצאת ממשקי הניהול מרחוק (Telnet, SSH ו‑ ADB) מחשיפה ישירה לאינטרנט, ביטול שירותים מיותרים והחלפת סיסמאות ברירת המחדל. לבסוף, שירותי SIEM/SOC ומודיעין סייבר מספקים ניטור רציף שמזהה תעבורה חריגה ומכשיר שמנסה "לדווח" לרשת בוטנט, תוך הזנת מדדי ההפשרה שפרסמו החוקרים — טביעות הקבצים, דומייני השליטה וכתובות המקור — אל תוך מנגנוני הזיהוי.