Voor veel beveiligingsprofessionals klinkt de term USB-worm als een overblijfsel uit een andere tijd. De vroege jaren 2000 stonden vol met verhalen over malware die zich via verwisselbare media verspreidde en bedrijfsnetwerken en overheidssystemen infecteerde, één USB-stick tegelijk. Toch bewijst een onlangs bekendgemaakte cyberspionagecampagne tegen een overheidsorganisatie in Zuidoost-Azië dat de USB-aanvalsvector in 2026 nog altijd springlevend is.
Onderzoekers van Unit 42 ontdekten een geavanceerde operatie die liep tussen juni en augustus 2025. Bij de campagne waren meerdere aan China gelieerde dreigingsgroepen betrokken die tegelijkertijd binnen dezelfde overheidsomgeving actief waren, waarbij elke groep zijn eigen verzameling malware, tools voor externe toegang en informatiestelers inzette. Ondanks het gebruik van verschillende technieken en infrastructuur hadden alle drie de groepen hetzelfde doel: langdurige toegang behouden tot gevoelige overheidssystemen.
Van de verschillende tools die in de operatie werden gebruikt, springt één component eruit voor iedereen die bekend is met beveiliging van verwisselbare media. De dreigingsactor die bekendstaat als Stately Taurus zette een via USB verspreide worm in, genaamd USBFect, ook geïdentificeerd als HIUPAN. Zijn taak was eenvoudig en zeer effectief: zichzelf kopiëren naar aangesloten verwisselbare schijven en wachten tot die schijven met een ander systeem worden verbonden.
Deze methode lijkt misschien weinig geavanceerd vergeleken met moderne ransomware of AI-gestuurde aanvallen, maar juist die eenvoud is precies waarom ze blijft werken. Organisaties beperken vaak internettoegang, blokkeren e-mailbijlagen en gebruiken geavanceerde endpointbeveiligingstools. Toch vertrouwen veel organisaties nog steeds op USB-apparaten om bestanden te verplaatsen tussen systemen, afdelingen of beveiligde omgevingen. Zolang verwisselbare media onderdeel blijven van normale bedrijfsactiviteiten, blijven ze ook een bruikbaar aanvalspad.
Voor lezers die geïnteresseerd zijn in de ontwikkeling van schrijfbeveiligingstechnologieën, hebben we eerder besproken hoe een USB-stick zo kan worden ingesteld dat deze alleen-lezen is. Die discussie wordt extra relevant wanneer we kijken naar malware die specifiek is ontworpen om zich via verwisselbare media te repliceren.
Volgens het rapport bewaakt USBFect een systeem voortdurend op nieuw aangesloten verwisselbare schijven. Zodra zo’n apparaat wordt gedetecteerd, kopieert de malware zijn componenten naar het apparaat zodat de infectie kan meereizen naar de volgende computer. De worm verbergt zich in mappen die lijken op legitieme Windows- en Intel-systeemmappen, waardoor een oppervlakkige controle waarschijnlijk niets verdachts oplevert.
De campagne stopte niet bij eenvoudige verspreiding. Zodra toegang was verkregen, leverden extra malwarecomponenten mogelijkheden voor externe toegang, keyloggingfuncties, klembordbewaking, bestandsverzameling en tools voor data-exfiltratie. Een informatiesteler die bekendstaat als TrackBak deed zich voor als een Microsoft Edge-logbestand, terwijl hij stilletjes gebruikersactiviteit en gevoelige informatie verzamelde van gecompromitteerde systemen.
Wat deze campagne bijzonder opvallend maakt, is dat drie afzonderlijke dreigingsclusters tegelijkertijd actief waren tegen dezelfde doelorganisatie. Onderzoekers identificeerden verbanden met eerder bekende spionagegroepen, waaronder Earth Estries, Crimson Palace en Unfading Sea Haze. Hoewel het exacte niveau van coördinatie onduidelijk blijft, wijst de overlap op een sterk georganiseerde poging tot inlichtingenverzameling gericht op één overheidsdoelwit.
Het rapport herinnert er ook aan dat USB-apparaten zelf niet de kwetsbaarheid zijn. De kwetsbaarheid ligt eerder in het vermogen van malware om verwisselbare opslag te gebruiken als transportmechanisme tussen systemen. De USB-stick is simpelweg het voertuig. Zodra malware de mogelijkheid krijgt om zichzelf naar een apparaat te schrijven, kan dat apparaat een onwetende drager worden voor de volgende infectie.
Dit onderscheid is belangrijk omdat veel discussies over USB-beveiliging zich richten op het volledig verbieden van verwisselbare media. In werkelijkheid blijven veel overheidsinstanties, zorgverleners, productiebedrijven en industriële operators afhankelijk van USB-opslag voor legitieme bedrijfsfuncties. USB volledig elimineren is vaak niet praktisch. Beheren hoe USB-apparaten worden gebruikt, is meestal de realistischere aanpak.
De onderzoekers adviseren om AutoRun uit te schakelen, strengere USB-beleidsregels af te dwingen en te controleren op verdachte DLL-activiteit en uitvoeringstechnieken in het geheugen. Dat blijven verstandige aanbevelingen. Maar de bredere les is misschien nog eenvoudiger: aanvallers blijven succes boeken met methoden die al tientallen jaren bestaan, omdat de onderliggende omstandigheden die deze aanvallen mogelijk maken nog steeds bestaan.
Twintig jaar nadat de eerste grote USB-wormen de krantenkoppen haalden, is de formule opvallend weinig veranderd. Zoek een beschrijfbaar USB-apparaat, kopieer de payload en wacht op de volgende verbinding. De technologie is geëvolueerd, de malware is geavanceerder geworden, maar het aanvalspad is hetzelfde gebleven.
Voor organisaties die blijven vertrouwen op verwisselbare media, is deze nieuwste campagne een herinnering dat controleren wat naar een USB-apparaat kan worden geschreven net zo belangrijk kan zijn als controleren wat ervan kan worden gelezen.
Bron: Cyber Security News / Unit 42
Reddit-discussie over USB-beveiliging
Redactioneel en technisch beoordelingsbeleid
Dit artikel is onderzocht en geschreven door het redactieteam van GetUSB.info op basis van openbaar beschikbare berichtgeving van cybersecurityonderzoekers en bronnen uit de sector. GetUSB.info schrijft sinds 2004 over USB-technologie, verwisselbare media, flashopslag en ontwikkelingen op het gebied van USB-beveiliging. Onze analyse richt zich op de technische mechanismen achter USB-gebaseerde aanvallen, opslagapparaten en technologieën voor datatransport.
Waar mogelijk worden originele onderzoeksbronnen en beveiligingsrapporten bekeken om technische beweringen vóór publicatie te verifiëren. Lezers moeten begrijpen dat cybersecurityonderzoeken zich kunnen ontwikkelen naarmate er aanvullende informatie beschikbaar komt. Organisaties moeten gekwalificeerde beveiligingsprofessionals raadplegen bij het beoordelen van USB-beveiligingsbeleid, strategieën voor malwarebeperking of vereisten voor gegevensbescherming.
GetUSB.info behoudt redactionele onafhankelijkheid en streeft ernaar feitelijke berichtgeving, technische context en educatieve analyse te bieden voor IT-professionals, engineers en technologieliefhebbers.
