Een groep aanvallers die zich met cyberspionage bezighoudt maakt gebruik van usb-sticks als primaire infectiemethode, zo waarschuwt securitybedrijf Mandiant. De groep heeft het voorzien op private en publieke organisaties in voornamelijk Zuidoost-Azië, maar ook in Europa en de Verenigde Staten. Ook al bevonden aangevallen organisaties zich in andere locaties, de aanvallen begonnen met het infecteren van computers in de Filipijnen.

Hiervoor maakt de groep, door Mandiant aangeduid als UNC4191, gebruik van usb-sticks. De infectie begint wanneer gebruikers handmatig een exe-bestand vanaf de besmette usb-stick laden. Het gaat hier om een legitieme applicatie genaamd USB Network Gate waarmee de aanvallers een malafide dll-bestand op de usb-stick laden. De malware biedt de aanvallers toegang tot het besmette systeem en zal nieuw aangesloten usb-sticks infecteren.

Zo verspreiden besmette usb-sticks zich door de aangevallen organisatie en kunnen ook air-gapped machines die niet direct met internet verbonden zijn besmet worden. Mandiant, dat dit jaar voor 5,4 miljard dollar door Google werd overgenomen, denkt dat het hier om een Chinese operatie gaat om toegang tot publieke en private organisaties te krijgen om zo inlichtingen te verzamelen voor de politieke en commerciële belangen van China.