Malware en Rust y Go: Amenazas multiplataforma que evaden las defensas tradicionales 🦀

El panorama de la ciberseguridad está experimentando un cambio fundamental a medida que los actores de amenazas abandonan los lenguajes de programación tradicionales en favor de alternativas modernas. Rust y Go han emergido como los lenguajes preferidos para ciberdelincuentes sofisticados, desafiando cómo los equipos de seguridad detectan y responden al malware. Según la inteligencia de amenazas reciente de Bitsight, el malware multiplataforma escrito en estos lenguajes se está convirtiendo en una práctica estándar entre los actores emergentes, marcando una nueva era en la evolución de las amenazas cibernéticas.

El auge de los lenguajes de programación modernos en el desarrollo de malware

La transición de C y C++ a Rust y Go representa más que una simple actualización tecnológica. Estos lenguajes modernos ofrecen a los ciberdelincuentes una combinación poderosa de rendimiento, compatibilidad multiplataforma y características anti-análisis inherentes que hacen que las defensas de seguridad tradicionales sean significativamente menos efectivas.

Investigaciones de 2025 revelan que los autores de malware están migrando sistemáticamente sus conjuntos de herramientas a estos lenguajes más nuevos. Grupos de ransomware como BlackCat, Hive, RansomExx y el colectivo Agenda han desplegado variantes de su malware basadas en Rust. Los operadores del ransomware Hive incluso reescribieron toda su carga útil de Go a Rust, demostrando el valor estratégico que ven en las capacidades del lenguaje.

Los números cuentan una historia convincente. En 2019, los investigadores identificaron aproximadamente 13,000 muestras únicas de malware escritas en Go. Para 2024, varias firmas de seguridad reportaron un crecimiento superior al 2,000 por ciento en detecciones de malware basado en Go. La adopción de Rust, aunque comenzó más tarde, se está acelerando aún más a medida que los actores de amenazas reconocen sus ventajas.

Por qué los ciberdelincuentes eligen Rust y Go

Dominio multiplataforma

Tanto Rust como Go sobresalen en la creación de malware verdaderamente portable. Los desarrolladores pueden escribir código una sola vez y compilarlo para sistemas Windows, Linux y ESXi con modificaciones mínimas. El grupo de ransomware Luna aprovecha esta capacidad para atacar múltiples sistemas operativos con una sola base de código. Esta eficiencia es especialmente valiosa en operaciones de ransomware donde maximizar el impacto en infraestructuras diversas es esencial.

Incidentes recientes demuestran esta versatilidad en acción. La plataforma de carga de malware ReaderUpdate ha sido observada desplegando variantes escritas en Crystal, Nim, Rust y Go en sistemas macOS. Los actores de amenazas también están apuntando a máquinas virtuales ESXi, que alojan cargas de trabajo empresariales críticas, usando ransomware multiplataforma que puede pivotar sin problemas entre sistemas host y guest.

Evasión de detección basada en firmas

Las soluciones tradicionales de antivirus y protección de endpoints dependen en gran medida de bases de datos de firmas construidas durante décadas de análisis de malware en C y C++. Los binarios en Rust y Go presentan estructuras fundamentalmente diferentes que evaden estos mecanismos de detección. Las herramientas de análisis estático tienen dificultades para analizar los artefactos de compilación únicos que producen estos lenguajes, particularmente las optimizaciones agresivas del compilador de Rust y las bibliotecas vinculadas estáticamente de Go.

Los investigadores de seguridad han documentado que las herramientas automatizadas de análisis de malware generan significativamente más falsos positivos y negativos al examinar binarios compilados en Rust en comparación con lenguajes tradicionales. Esta brecha en la detección proporciona a los actores de amenazas una ventaja operativa crítica durante las etapas iniciales de un ataque.

Complejidad en ingeniería inversa

La dificultad de analizar malware en Rust y Go representa quizás su ventaja más significativa para los ciberdelincuentes. Los investigadores de SentinelOne han declarado que con las herramientas actuales, Rust es “prácticamente imposible de ingeniería inversa”, lo que lleva a muchos analistas de seguridad a evitar investigar amenazas basadas en Rust por completo.

Los binarios en Rust son sustancialmente más grandes que sus contrapartes en C—a menudo el doble de tamaño—porque enlazan dependencias de forma estática en tiempo de compilación. Un análisis comparativo mostró que un ejecutable de malware en C mide 71.7 kilobytes, mientras que la versión en Rust equivalente alcanza los 151.5 kilobytes. Esta diferencia de tamaño, combinada con la inlining agresiva de funciones y optimizaciones, crea una estructura de código desconcertante que supera incluso a C++ en complejidad de abstracción.

Go presenta desafíos similares. El lenguaje incrusta todas las bibliotecas necesarias directamente en los binarios compilados y oculta la recuperación de nombres de funciones, dificultando enormemente la depuración para los investigadores de malware. Herramientas populares de ingeniería inversa como IDA Free y Ghidra han tenido dificultades para desensamblar estos binarios eficazmente, aunque las actualizaciones recientes han comenzado a abordar algunas limitaciones.

Seguridad de memoria y rendimiento

Irónicamente, las mismas características de seguridad que hacen que Rust sea atractivo para el desarrollo de software legítimo también benefician a los autores de malware. Las garantías de seguridad de memoria de Rust eliminan toda una clase de vulnerabilidades que podrían ser explotadas para detectar o desactivar malware. El equipo de desarrollo de Android informó que tras migrar a Rust, los problemas de seguridad de memoria disminuyeron del 76 por ciento de las vulnerabilidades en 2019 al 24 por ciento en 2024.

Esta seguridad incorporada significa que el malware escrito en Rust tiene menos probabilidades de fallar o mostrar comportamientos anómalos que puedan activar la detección. Combinado con las características de rendimiento de Rust—que ofrecen velocidades comparables a C mientras proporcionan abstracciones de alto nivel—los actores de amenazas obtienen una plataforma confiable para operaciones sofisticadas.

Panorama de amenazas en 2025: observaciones del mundo real

Inteligencia de amenazas de Bitsight 2025

El análisis de Bitsight sobre las tendencias de malware hasta 2025 revela que los conjuntos de herramientas emergentes escritos en Rust, Go y otros lenguajes multiplataforma demuestran la evolución técnica de las prácticas de desarrollo criminal. La firma de ciberseguridad observó un crecimiento sostenido en Malware-as-a-Service (MaaS) y actividad de Remote Access Trojan (RAT), con capacidades multiplataforma convirtiéndose en una característica estándar en lugar de una opción avanzada.

La profesionalización del mercado de ciberdelincuencia es evidente en la mayor publicidad de conjuntos de herramientas MaaS y registros de ladrones en foros de la web oscura. Plataformas populares como Fog, Acreed y Lumma ofrecen capacidades llave en mano para robo de datos y recopilación de credenciales, reduciendo significativamente las barreras técnicas para aspirantes a ciberdelincuentes. Muchos de estos servicios ahora ofrecen variantes en Rust y Go específicamente comercializadas por sus capacidades de evasión de detección.

Evolución del ransomware

Los operadores de ransomware han sido particularmente agresivos en adoptar lenguajes modernos. El grupo de ransomware Akira, que ha reclamado aproximadamente 244 millones de dólares en pagos de rescate, desplegó un cifrador basado en Rust llamado Megazord que cifra archivos con mayor velocidad y características anti-análisis. El grupo también desarrolló Akira_v2, una variante que permite velocidades de cifrado más rápidas y que inhibe aún más la recuperación del sistema.

Los investigadores de Trend Micro documentaron la transición del grupo de ransomware Agenda de Go a Rust, señalando que la versión reescrita apunta a empresas de manufactura y TI con capacidades mejoradas. La implementación en Rust permite a los atacantes desactivar Windows User Account Control y otras funciones de seguridad, impidiendo que aplicaciones legítimas funcionen con privilegios administrativos.

Ataques a la cadena de suministro

Los lenguajes de programación modernos también han infiltrado las cadenas de suministro de software. Investigadores de Socket identificaron paquetes maliciosos en los ecosistemas de Go, npm y Rust diseñados para recopilar datos sensibles de desarrolladores. Un caso particularmente preocupante involucró la crate de Rust “evm-units,” que acumuló más de 7,000 descargas antes de descubrirse su naturaleza maliciosa.

El paquete incrustaba un cargador multiplataforma dentro de utilidades de desarrollo de Ethereum aparentemente legítimas, apuntando específicamente a desarrolladores de Web3. El malware verificaba la presencia de procesos antivirus específicos y ajustaba su comportamiento en consecuencia, demostrando una conciencia ambiental sofisticada diseñada para evadir la detección.

Desafíos técnicos para los equipos de seguridad

Herramientas insuficientes

Las herramientas de ingeniería inversa en la industria de la ciberseguridad no han seguido el ritmo de la adopción de lenguajes modernos en malware. Las herramientas de análisis estándar que funcionan eficazmente en binarios en C y C++ fallan cuando se enfrentan a la complejidad del sistema de tipos, mecanismos de préstamo y optimizaciones del compilador de Rust.

SentinelOne e Intezer lanzaron el proyecto OxA11C en 2024 específicamente para abordar esta brecha. La iniciativa busca desarrollar metodologías y herramientas para analizar malware en Rust, basándose en el éxito de su proyecto AlphaGolang anterior para análisis de malware en Go. Estos esfuerzos revelaron que, una vez que se restaura el contexto adecuado, analizar malware en Go puede ser en realidad más fácil que en lenguajes tradicionales—una señal prometedora para futuras capacidades de análisis en Rust.

Limitaciones en detección conductual

La detección basada en firmas siempre ha tenido limitaciones, pero las características únicas del malware en Rust y Go agravan estas debilidades. Los diferentes enfoques de gestión de memoria, comportamientos en tiempo de ejecución y las interacciones con las API del sistema de estos lenguajes no coinciden con los patrones que las herramientas de seguridad han sido entrenadas para reconocer durante décadas de análisis de malware en C.

Las soluciones modernas de detección y respuesta en endpoints (EDR) dependen cada vez más del análisis conductual para complementar la detección de firmas. Sin embargo, los actores de amenazas están desarrollando contramedidas diseñadas específicamente para evadir estos sistemas. Campañas recientes de ransomware han empleado técnicas como bring-your-own-installer (BYOI), hooking en tiempo real (JIT) y inyección de memoria para sortear los mecanismos de detección conductual.

Brechas de recursos y habilidades

Las organizaciones enfrentan una escasez crítica de profesionales de seguridad con experiencia en análisis de malware y lenguajes de programación modernos. Aunque la comunidad de desarrolladores en general ha adoptado Rust y Go, los equipos de ciberseguridad a menudo carecen del conocimiento especializado necesario para investigar eficazmente amenazas escritas en estos lenguajes.

Esta brecha de habilidades crea una asimetría preocupante. Los desarrolladores de malware pueden aprovechar documentación extensa, comunidades útiles y herramientas robustas para construir amenazas sofisticadas, mientras que los defensores luchan con herramientas de análisis insuficientes y experiencia limitada.

Estrategias de defensa contra amenazas modernas

Inteligencia avanzada de amenazas

La inteligencia proactiva de amenazas se ha vuelto esencial para combatir malware en Rust y Go. Los equipos de seguridad deben participar en plataformas de intercambio de información como los Centros de Intercambio y Análisis de Información (ISACs) para recibir indicadores en tiempo real de compromiso relacionados con estas amenazas emergentes. La inteligencia recopilada de fuentes globales puede ayudar a las organizaciones a anticipar las estrategias de los atacantes y adaptar las defensas en consecuencia.

El aprendizaje automático y la inteligencia artificial ofrecen enfoques prometedores para detectar malware independientemente del lenguaje de programación. Al analizar patrones conductuales en lugar de firmas de código, los sistemas impulsados por IA pueden identificar actividades maliciosas incluso cuando el análisis estático falla. Estas plataformas deben agregar datos de múltiples fuentes para construir modelos de amenazas integrales que capturen las características únicas del malware moderno.

Análisis conductual y heurístico

Las organizaciones deben cambiar el enfoque del análisis basado en firmas hacia la monitorización conductual que identifique acciones maliciosas en lugar de patrones específicos de código. Las herramientas de detección en memoria que monitorean la RAM en busca de actividades sospechosas—como inyecciones no autorizadas en procesos, carga lateral de DLLs o llamadas API irregulares—pueden detectar malware en Rust y Go ejecutándose en memoria.

Las tecnologías de Protección de Aplicaciones en Tiempo de Ejecución (RASP) se integran directamente en los entornos de ejecución de las aplicaciones, evitando que el código malicioso se ejecute independientemente de cómo fue compilado. Por ejemplo, RASP puede detectar y bloquear intentos de explotar búferes de memoria en tiempo real, neutralizando las amenazas antes de que escalen.

Capacitación especializada y desarrollo de herramientas

Invertir en capacitación del equipo de ciberseguridad en lenguajes de programación modernos es una estrategia imperativa. Los profesionales de seguridad necesitan experiencia práctica con Rust y Go para entender cómo estos lenguajes compilan, cómo se comportan sus entornos de ejecución y qué artefactos dejan en los sistemas.

Las organizaciones también deben apoyar el desarrollo y adopción de herramientas especializadas de ingeniería inversa. Proyectos como OxA11C y AlphaGolang demuestran que, con investigación y desarrollo de herramientas adecuados, analizar malware en lenguajes modernos puede volverse factible—y potencialmente incluso más fácil que analizar lenguajes compilados tradicionales.

Segmentación de red y Zero Trust

Dado que las capacidades multiplataforma del malware en Rust y Go son evidentes, los modelos tradicionales de seguridad perimetral resultan insuficientes. Las arquitecturas de Acceso a Redes Zero Trust (ZTNA) que asumen que no hay confianza implícita y verifican continuamente cada solicitud de acceso ofrecen una mejor protección contra movimientos laterales tras una primera intrusión.

La segmentación de red limita el radio de impacto de las intrusiones exitosas. Al aislar sistemas críticos y requerir autorización explícita para la comunicación entre segmentos, las organizaciones pueden impedir que el malware en Rust y Go aproveche sus capacidades multiplataforma para propagarse en entornos heterogéneos.

Estrategias de respaldo inmutable

La velocidad y eficiencia del ransomware moderno—especialmente las variantes basadas en Rust—exigen capacidades robustas de respaldo y recuperación. Las organizaciones deben implementar la regla de respaldo 3-2-1-1-0: tres copias de datos, en dos tipos diferentes de medios, con una copia fuera del sitio, una inmutable o desconectada, y errores de restauración cero verificados mediante pruebas regulares.

Los respaldos inmutables protegidos por tecnología de bloqueo de objetos o mantenidos en sistemas aislados (air-gapped) proporcionan la última línea de defensa cuando el ransomware evade todos los demás controles. Con pagos promedio de rescate alcanzando los 2.73 millones de dólares en 2024—casi el doble del año anterior—el argumento empresarial para una infraestructura de respaldo resiliente es convincente.

El futuro de Rust y Go en el cibercrimen

La integración de inteligencia artificial en el desarrollo de malware representa la próxima frontera. Los actores de amenazas están comenzando a experimentar con técnicas de evasión impulsadas por IA, usando aprendizaje automático para optimizar la ofuscación del código e identificar puntos ciegos de seguridad. La operación GLOBAL GROUP de ransomware ya ha lanzado un modelo de Ransomware-as-a-Service impulsado por IA que automatiza la selección de objetivos y la personalización de ataques.

A medida que el desarrollo de software legítimo continúa migrando a lenguajes seguros para la memoria—fomentado por agencias como CISA y DARPA—el ecosistema de herramientas, bibliotecas y conocimientos de los desarrolladores en torno a Rust y Go se expandirá. Esta maduración beneficia a todos, incluidos los autores de malware que obtienen acceso a capacidades más sofisticadas y mejor soporte comunitario.

La tendencia hacia malware multiplataforma y difícil de analizar escrito en lenguajes modernos parece irreversible. Las organizaciones que no adapten sus estrategias de seguridad enfrentan un riesgo creciente a medida que la brecha entre las capacidades de los atacantes y la preparación de los defensores se amplía.

Conclusión

La aparición de Rust y Go como lenguajes preferidos para el desarrollo de malware representa un desafío fundamental para los enfoques tradicionales de ciberseguridad. Estos lenguajes modernos ofrecen a los ciberdelincuentes capacidades multiplataforma, evasión de detección, resistencia a la ingeniería inversa y ventajas de rendimiento que hacen que las defensas legadas sean significativamente menos efectivas.

La observación de Bitsight de que el malware multiplataforma escrito en Rust y Go se está convirtiendo en estándar entre actores emergentes señala un cambio permanente en el panorama de amenazas. Los equipos de seguridad deben responder invirtiendo en inteligencia avanzada de amenazas, sistemas de detección conductual, capacitación especializada y una infraestructura de respaldo resiliente.

La comunidad de ciberseguridad está comenzando a desarrollar las herramientas y metodologías necesarias para combatir estas amenazas. Proyectos como OxA11C y AlphaGolang demuestran que, con investigación y colaboración dedicadas, las ventajas que los lenguajes modernos brindan a los autores de malware pueden ser neutralizadas. Sin embargo, el éxito requiere un compromiso sostenido para evolucionar las capacidades defensivas al mismo ritmo que los atacantes avanzan con sus kits de herramientas ofensivos.

Las organizaciones que afronten este desafío—desarrollando experiencia en lenguajes modernos, desplegando tecnologías de detección avanzadas y aplicando estrategias de defensa en profundidad—estarán mejor posicionadas para resistir la próxima generación de amenazas cibernéticas. Aquellas que se aferren a enfoques obsoletos corren el riesgo de enfrentarse a ataques cada vez más sofisticados por parte de adversarios cuyas capacidades técnicas continúan acelerándose.

El juego del gato y el ratón entre atacantes y defensores continúa, pero el campo de juego ha cambiado fundamentalmente. Entender y adaptarse a la realidad del malware en Rust y Go ya no es opcional—es un componente esencial de cualquier programa de ciberseguridad maduro.