Für viele Sicherheitsexperten klingt der Begriff USB-Wurm wie ein Relikt aus einer anderen Zeit. Die frühen 2000er-Jahre waren voll von Berichten über Malware, die sich über Wechseldatenträger verbreitete und Unternehmensnetzwerke sowie Regierungssysteme infizierte, ein USB-Stick nach dem anderen. Doch eine neu offengelegte Cyberspionagekampagne gegen eine Regierungsorganisation in Südostasien zeigt, dass der USB-Angriffsweg auch im Jahr 2026 noch sehr lebendig ist.
Forscher von Unit 42 deckten eine ausgefeilte Operation auf, die zwischen Juni und August 2025 lief. An der Kampagne waren mehrere China-nahe Bedrohungsgruppen beteiligt, die gleichzeitig in derselben Regierungsumgebung aktiv waren und jeweils ihre eigene Sammlung aus Malware, Remote-Access-Tools und Informationsdieben einsetzten. Trotz unterschiedlicher Techniken und Infrastrukturen verfolgten alle drei Gruppen ein gemeinsames Ziel: langfristigen Zugang zu sensiblen Regierungssystemen zu erhalten.
Unter den verschiedenen Werkzeugen, die bei der Operation eingesetzt wurden, fällt eine Komponente besonders allen auf, die sich mit der Sicherheit von Wechseldatenträgern auskennen. Der als Stately Taurus bekannte Angreifer setzte einen über USB verbreiteten Wurm namens USBFect ein, der auch als HIUPAN identifiziert wird. Seine Aufgabe war einfach und sehr effektiv: sich selbst auf angeschlossene Wechseldatenträger kopieren und darauf warten, dass diese Laufwerke mit einem anderen System verbunden werden.
Diese Methode mag im Vergleich zu moderner Ransomware oder KI-gestützten Angriffen wenig ausgefeilt wirken, aber genau diese Einfachheit ist der Grund, warum sie weiterhin funktioniert. Organisationen beschränken häufig die Internetverbindung, blockieren E-Mail-Anhänge und setzen fortschrittliche Endpoint-Security-Tools ein. Dennoch verlassen sich viele weiterhin auf USB-Geräte, um Dateien zwischen Systemen, Abteilungen oder sicheren Umgebungen zu bewegen. Solange Wechseldatenträger Teil normaler Geschäftsabläufe bleiben, bleiben sie auch ein nutzbarer Angriffsweg.
Für Leser, die sich für die Entwicklung von Schreibschutztechnologien interessieren, haben wir früher bereits besprochen, wie ein USB-Stick so konzipiert werden kann, dass er keinen Virus bekommen kann. Diese Diskussion wird besonders relevant, wenn man Malware betrachtet, die speziell dafür entwickelt wurde, sich über Wechseldatenträger zu replizieren.
Dem Bericht zufolge überwacht USBFect ein System kontinuierlich auf neu angeschlossene Wechseldatenträger. Sobald ein solches Gerät erkannt wird, kopiert die Malware ihre Komponenten auf das Gerät, damit die Infektion zum nächsten Computer weiterwandern kann. Der Wurm versteckt sich in Verzeichnissen, die wie legitime Windows- und Intel-Systemordner aussehen sollen, sodass bei einer oberflächlichen Prüfung kaum etwas Verdächtiges auffällt.
Die Kampagne blieb nicht bei einfacher Verbreitung stehen. Nachdem der Zugriff hergestellt war, lieferten zusätzliche Malware-Komponenten Remote-Access-Funktionen, Keylogging, Überwachung der Zwischenablage, Dateisammlung und Werkzeuge zur Datenexfiltration. Ein Informationsdiebstahl-Tool namens TrackBak tarnte sich als Microsoft-Edge-Protokolldatei, während es still Benutzeraktivitäten und sensible Informationen von kompromittierten Systemen sammelte.
Besonders bemerkenswert an dieser Kampagne ist, dass drei separate Bedrohungscluster gleichzeitig gegen dieselbe Zielorganisation beobachtet wurden. Die Forscher identifizierten Verbindungen zu bereits bekannten Spionagegruppen, darunter Earth Estries, Crimson Palace und Unfading Sea Haze. Auch wenn das genaue Maß der Koordination unklar bleibt, deutet die Überschneidung auf eine hoch organisierte Nachrichtengewinnung gegen ein einzelnes Regierungsopfer hin.
Der Bericht erinnert außerdem daran, dass USB-Geräte selbst nicht die Schwachstelle sind. Die Schwachstelle liegt vielmehr darin, dass Malware Wechselspeicher als Transportmechanismus zwischen Systemen nutzen kann. Der USB-Stick ist lediglich das Fahrzeug. Sobald Malware die Möglichkeit erhält, sich auf ein Gerät zu schreiben, kann dieses Gerät zum unwissenden Träger der nächsten Infektion werden.
Diese Unterscheidung ist wichtig, weil sich viele Diskussionen über USB-Sicherheit darauf konzentrieren, Wechseldatenträger vollständig zu verbieten. In der Praxis sind viele Regierungsbehörden, Gesundheitsdienstleister, Fertigungsbetriebe und industrielle Betreiber weiterhin auf USB-Speicher für legitime Geschäftsabläufe angewiesen. USB komplett abzuschaffen ist oft unrealistisch. Zu steuern, wie USB-Geräte verwendet werden, ist meist der deutlich realistischere Ansatz.
Die Forscher empfehlen, AutoRun zu deaktivieren, strengere USB-Richtlinien durchzusetzen und verdächtige DLL-Aktivitäten sowie In-Memory-Ausführungstechniken zu überwachen. Das bleiben sinnvolle Empfehlungen. Die größere Lektion könnte jedoch noch einfacher sein: Angreifer haben weiterhin Erfolg mit Methoden, die seit Jahrzehnten existieren, weil die grundlegenden Bedingungen, die diese Angriffe ermöglichen, weiterhin bestehen.
Zwanzig Jahre nachdem die ersten großen USB-Würmer Schlagzeilen machten, ist die Formel bemerkenswert unverändert geblieben. Ein beschreibbares USB-Gerät finden, die Nutzlast kopieren und auf die nächste Verbindung warten. Die Technologie hat sich weiterentwickelt, die Malware ist ausgefeilter geworden, aber der Angriffsweg ist derselbe geblieben.
Für Organisationen, die weiterhin auf Wechseldatenträger angewiesen sind, ist diese jüngste Kampagne eine Erinnerung daran, dass die Kontrolle darüber, was auf ein USB-Gerät geschrieben werden kann, genauso wichtig sein kann wie die Kontrolle darüber, was davon gelesen werden kann.
Quelle: Cyber Security News / Unit 42
Reddit-Diskussion über USB-Sicherheit
Redaktionelle und technische Prüfrichtlinie
Dieser Artikel wurde vom Redaktionsteam von GetUSB.info auf Grundlage öffentlich verfügbarer Berichte von Cybersicherheitsforschern und Branchenquellen recherchiert und geschrieben. GetUSB.info berichtet seit 2004 über USB-Technologie, Wechseldatenträger, Flash-Speicher und Entwicklungen im Bereich USB-Sicherheit. Unsere Analyse konzentriert sich auf die technischen Mechanismen hinter USB-basierten Angriffen, Speichergeräten und Datentransporttechnologien.
Wenn möglich, werden Originalforschungsquellen und Sicherheitsberichte geprüft, um technische Aussagen vor der Veröffentlichung zu verifizieren. Leser sollten verstehen, dass sich Cybersicherheitsuntersuchungen weiterentwickeln können, sobald zusätzliche Informationen verfügbar werden. Organisationen sollten qualifizierte Sicherheitsexperten hinzuziehen, wenn sie USB-Sicherheitsrichtlinien, Strategien zur Malware-Abwehr oder Anforderungen an den Datenschutz bewerten.
GetUSB.info wahrt redaktionelle Unabhängigkeit und bemüht sich, sachliche Berichterstattung, technischen Kontext und lehrreiche Analysen für IT-Fachleute, Ingenieure und Technikinteressierte bereitzustellen.
