Per molti professionisti della sicurezza, l’espressione worm USB suona come un reperto di un’altra epoca. I primi anni 2000 erano pieni di storie su malware che si diffondeva tramite supporti rimovibili, infettando reti aziendali e sistemi governativi una chiavetta USB alla volta. Eppure, una campagna di cyberspionaggio recentemente divulgata contro un’organizzazione governativa del Sud-est asiatico dimostra che il vettore di attacco USB è ancora molto vivo nel 2026.
I ricercatori di Unit 42 hanno scoperto un’operazione sofisticata attiva tra giugno e agosto del 2025. La campagna coinvolgeva più gruppi di minaccia allineati alla Cina, operativi contemporaneamente all’interno dello stesso ambiente governativo, ciascuno con la propria raccolta di malware, strumenti di accesso remoto e infostealer. Pur usando tecniche e infrastrutture diverse, tutti e tre i gruppi condividevano un obiettivo comune: mantenere un accesso a lungo termine a sistemi governativi sensibili.
Tra i vari strumenti usati nell’operazione, un componente spicca per chiunque abbia familiarità con la sicurezza dei supporti rimovibili. L’attore di minaccia noto come Stately Taurus ha distribuito un worm propagato via USB chiamato USBFect, identificato anche come HIUPAN. Il suo compito era semplice e molto efficace: copiarsi sui dispositivi rimovibili collegati e attendere che quei dispositivi venissero collegati a un altro sistema.
Questo metodo può sembrare poco sofisticato rispetto al ransomware moderno o agli attacchi basati sull’intelligenza artificiale, ma proprio questa semplicità è il motivo per cui continua a funzionare. Le organizzazioni spesso limitano la connettività Internet, bloccano gli allegati email e implementano strumenti avanzati di sicurezza endpoint. Eppure molte continuano a fare affidamento sui dispositivi USB per spostare file tra sistemi, reparti o ambienti protetti. Finché i supporti rimovibili restano parte delle normali attività aziendali, restano anche un percorso di attacco praticabile.
Per i lettori interessati all’evoluzione delle tecnologie di protezione da scrittura, in passato abbiamo già esaminato come una chiavetta USB può essere progettata per non prendere un virus. Questa discussione diventa particolarmente rilevante quando si analizza malware progettato specificamente per replicarsi tramite supporti rimovibili.
Secondo il rapporto, USBFect monitora continuamente un sistema alla ricerca di nuovi dispositivi rimovibili collegati. Una volta rilevati, il malware copia i propri componenti sul dispositivo in modo che l’infezione possa viaggiare verso il computer successivo. Il worm si nasconde all’interno di directory progettate per sembrare cartelle di sistema legittime di Windows e Intel, rendendo improbabile che un controllo superficiale riveli qualcosa di sospetto.
La campagna non si è fermata alla semplice propagazione. Una volta stabilito l’accesso, componenti malware aggiuntivi hanno fornito capacità di accesso remoto, funzioni di keylogging, monitoraggio degli appunti, raccolta di file e strumenti di esfiltrazione dei dati. Un infostealer noto come TrackBak si mascherava da file di log di Microsoft Edge mentre raccoglieva silenziosamente attività degli utenti e informazioni sensibili dai sistemi compromessi.
Ciò che rende questa campagna particolarmente degna di nota è che tre cluster di minaccia separati sono stati osservati operare contemporaneamente contro la stessa organizzazione bersaglio. I ricercatori hanno identificato collegamenti con gruppi di spionaggio già noti, tra cui Earth Estries, Crimson Palace e Unfading Sea Haze. Sebbene il livello esatto di coordinamento resti poco chiaro, la sovrapposizione suggerisce uno sforzo di raccolta intelligence altamente organizzato, concentrato su una singola vittima governativa.
Il rapporto serve anche a ricordare che i dispositivi USB in sé non sono la vulnerabilità. La vulnerabilità sta piuttosto nella capacità del malware di usare l’archiviazione rimovibile come meccanismo di trasporto tra sistemi. La chiavetta USB è semplicemente il veicolo. Una volta che il malware ottiene la possibilità di scriversi su un dispositivo, quel dispositivo può diventare un vettore inconsapevole per l’infezione successiva.
Questa distinzione è importante perché molte discussioni sulla sicurezza USB si concentrano sul divieto totale dei supporti rimovibili. Nella realtà, molte agenzie governative, strutture sanitarie, impianti produttivi e operatori industriali continuano a dipendere dall’archiviazione USB per funzioni aziendali legittime. Eliminare l’USB è spesso poco pratico. Gestire il modo in cui i dispositivi USB vengono usati è di solito l’approccio più realistico.
I ricercatori raccomandano di disabilitare AutoRun, applicare policy USB più rigide e monitorare attività DLL sospette e tecniche di esecuzione in memoria. Queste restano raccomandazioni valide. Tuttavia, la lezione più ampia potrebbe essere ancora più semplice: gli aggressori continuano ad avere successo con metodi che esistono da decenni perché le condizioni di base che rendono possibili quegli attacchi esistono ancora.
Vent’anni dopo che i primi grandi worm USB finirono nei titoli dei giornali, la formula è rimasta sorprendentemente invariata. Trovare un dispositivo USB scrivibile, copiare il payload e attendere la connessione successiva. La tecnologia si è evoluta, il malware è diventato più sofisticato, ma il percorso di attacco resta lo stesso.
Per le organizzazioni che continuano a fare affidamento sui supporti rimovibili, questa ultima campagna ricorda che controllare cosa può essere scritto su un dispositivo USB può essere importante quanto controllare cosa può essere letto da esso.
Fonte: Cyber Security News / Unit 42
Discussione su Reddit sulla sicurezza USB
Politica di revisione editoriale e tecnica
Questo articolo è stato ricercato e scritto dal team editoriale di GetUSB.info sulla base di report pubblicamente disponibili provenienti da ricercatori di cybersicurezza e fonti del settore. GetUSB.info segue dal 2004 la tecnologia USB, i supporti rimovibili, l’archiviazione flash e gli sviluppi della sicurezza USB. La nostra analisi si concentra sui meccanismi tecnici coinvolti negli attacchi basati su USB, nei dispositivi di archiviazione e nelle tecnologie di trasporto dei dati.
Quando possibile, le fonti di ricerca originali e i report di sicurezza vengono esaminati per verificare le affermazioni tecniche prima della pubblicazione. I lettori dovrebbero comprendere che le indagini di cybersicurezza possono evolversi man mano che diventano disponibili ulteriori informazioni. Le organizzazioni dovrebbero consultare professionisti qualificati della sicurezza quando valutano policy di sicurezza USB, strategie di mitigazione del malware o requisiti di protezione dei dati.
GetUSB.info mantiene indipendenza editoriale e si impegna a fornire report accurati, contesto tecnico e analisi educative per professionisti IT, ingegneri e appassionati di tecnologia.
