Malware die air-gapped systemen kan infecteren is jarenlang ingezet in Europa, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. De aanvallen zijn volgens de virusbestrijder het werk van een spionagegroep genaamd GoldenJackal, die een niet nader genoemde overheidsorganisatie in Europa van mei 2022 tot en met maart 2024 meerdere keren met de malware aanviel.

Bij een air-gap is een systeem fysiek gescheiden van onveilige netwerken, zoals het internet of onveilige lokale netwerken. Een offline of niet verbonden computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. ESET ontdekte twee verschillende toolsets van de spionagegroep die air-gapped systemen via besmette usb-sticks proberen te infecteren.

De initiële infectiemethode is echter onbekend. De aanval begint bij systemen die met internet verbonden zijn en besmet worden. Zodra op deze systemen een usb-stick wordt aangesloten zal de malware die infecteren. Wanneer de besmette usb-stick vervolgens op een air-gapped systeem wordt aangesloten, en de gebruiker de malware uitvoert, zal ook dit systeem besmet raken. ESET denkt dat de malware hiervoor een map-icoon gebruikt. De gebruiker denkt een map te openen, terwijl het in werkelijkheid een uitvoerbaar bestand is.

Zodra de malware is uitgevoerd kopieert die gegevens van het air-gapped systeem naar de usb-stick. Zodra de usb-stick weer op het met internet verbonden systeem wordt aangesloten kan de gestolen data van het air-gapped systeem naar de aanvallers worden gestuurd. De eerste toolset om air-gapped systemen aan te vallen wordt volgens ESET al sinds 2019 door GoldenJackal ingezet. In dat jaar was een Zuid-Aziatische ambassade in Belarus het doelwit. De tweede toolset is sinds 2022 in gebruik.

"Met de vereiste complexiteit is het vrij bijzonder dat GoldenJackal in vijf jaar tijd niet één, maar twee verschillende toolsets heeft ontwikkeld en uitgerold om air-gapped systemen te infecteren", aldus de onderzoekers. Volgens het antivirusbedrijf laat dit zien dat de spionagegroep een 'geraffineerde dreigingsactor' is, die bekend is met de netwerksegmentatie die doelwitten toepassen.