Duqu to wysoce ukierunkowane cyber złośliwe oprogramowanie. Niektóre ze znanych mechanizmów rozprzestrzeniania to (1) wykorzystanie exploita typu zero-day dla programu Word oraz (2) wykorzystanie protokołu poleceń i kontroli peer-to-peer.
- Exploit dla Worda zero-day. Duqu atakuje system Microsoft Windows przy użyciu luki zero-day w programie Word. Dropper używa programu Microsoft Word (.doc), który wykorzystuje silnik parsowania czcionek Win32k TrueType i umożliwia wykonanie,
- Protokół poleceń i kontroli peer-to-peer. Protokół poleceń i kontroli peer-to-peer używa protokołu HTTP przez SMB. Nowo zainfekowany komputer jest zwykle skonfigurowany do ponownego łączenia się z infekującym komputerem przy użyciu wstępnie zdefiniowanego protokołu SMB. Komputer równorzędny, który wcześniej był komputerem infekującym, przekazuje następnie polecenia i ruch kontrolny do zewnętrznego CCS.
Ogólnie większość bezpiecznych sieci jest skonfigurowana tak, aby mieć bezpieczną strefę, w której znajdują się wewnętrzne serwery. W miarę jak Duqu rozprzestrzenia się z mniej bezpiecznej strefy do bardziej bezpiecznej strefy, jest w stanie utrzymać połączenie z powrotem z CCS, efektywnie budując prywatny pomost między zainfekowanym komputerem prowadzącym z powrotem do CCS .