Bagi banyak profesional keamanan, istilah worm USB terdengar seperti peninggalan dari era lain. Awal tahun 2000-an dipenuhi cerita tentang malware yang menyebar melalui media yang dapat dilepas, menginfeksi jaringan perusahaan dan sistem pemerintah satu flash drive pada satu waktu. Namun, kampanye spionase siber yang baru diungkap dan menargetkan sebuah organisasi pemerintah di Asia Tenggara membuktikan bahwa vektor serangan USB masih sangat hidup pada tahun 2026.
Para peneliti dari Unit 42 mengungkap sebuah operasi canggih yang berlangsung antara Juni dan Agustus 2025. Kampanye tersebut melibatkan beberapa kelompok ancaman yang berafiliasi dengan Tiongkok dan bekerja secara bersamaan di dalam lingkungan pemerintah yang sama, masing-masing menggunakan kumpulan malware, alat akses jarak jauh, dan pencuri informasi miliknya sendiri. Meski menggunakan teknik dan infrastruktur yang berbeda, ketiga kelompok tersebut memiliki tujuan yang sama: mempertahankan akses jangka panjang ke sistem pemerintah yang sensitif.
Di antara berbagai alat yang digunakan dalam operasi tersebut, ada satu komponen yang langsung menarik perhatian siapa pun yang memahami keamanan media yang dapat dilepas. Aktor ancaman yang dikenal sebagai Stately Taurus menyebarkan worm yang menjalar lewat USB bernama USBFect, yang juga diidentifikasi sebagai HIUPAN. Tugasnya sederhana dan sangat efektif: menyalin dirinya sendiri ke drive yang dapat dilepas saat terhubung, lalu menunggu drive tersebut dipasang ke sistem lain.
Metode ini mungkin tampak kurang canggih dibandingkan ransomware modern atau serangan yang didukung kecerdasan buatan, tetapi justru kesederhanaan itulah yang membuatnya tetap berhasil. Organisasi sering membatasi konektivitas internet, memblokir lampiran email, dan menerapkan alat keamanan endpoint tingkat lanjut. Namun banyak organisasi masih bergantung pada perangkat USB untuk memindahkan file antar sistem, departemen, atau lingkungan aman. Selama media yang dapat dilepas masih menjadi bagian dari operasi bisnis normal, media tersebut tetap menjadi jalur serangan yang layak digunakan.
Bagi pembaca yang tertarik pada perkembangan teknologi proteksi tulis, sebelumnya kami pernah mengulas bagaimana flash drive USB dapat dibuat menjadi hanya-baca. Pembahasan itu menjadi sangat relevan saat meneliti malware yang memang dirancang khusus untuk bereplikasi melalui media yang dapat dilepas.
Menurut laporan tersebut, USBFect terus memantau sistem untuk mencari drive yang dapat dilepas yang baru terhubung. Setelah terdeteksi, malware menyalin komponennya ke perangkat tersebut agar infeksi dapat berpindah ke komputer berikutnya. Worm ini bersembunyi di dalam direktori yang dirancang menyerupai folder sistem Windows dan Intel yang sah, sehingga pemeriksaan biasa kemungkinan besar tidak akan menemukan sesuatu yang mencurigakan.
Kampanye tersebut tidak berhenti pada penyebaran sederhana. Setelah akses berhasil dibuat, komponen malware tambahan menghadirkan kemampuan akses jarak jauh, fungsi keylogging, pemantauan clipboard, pengumpulan file, dan alat eksfiltrasi data. Salah satu pencuri informasi yang dikenal sebagai TrackBak menyamar sebagai file log Microsoft Edge sambil diam-diam mengumpulkan aktivitas pengguna dan informasi sensitif dari sistem yang telah dikompromikan.
Yang membuat kampanye ini sangat menonjol adalah bahwa tiga klaster ancaman terpisah terlihat beroperasi secara bersamaan terhadap organisasi target yang sama. Para peneliti mengidentifikasi hubungan dengan kelompok spionase yang sudah dikenal sebelumnya, termasuk Earth Estries, Crimson Palace, dan Unfading Sea Haze. Meskipun tingkat koordinasi yang tepat masih belum jelas, tumpang tindih ini menunjukkan upaya pengumpulan intelijen yang sangat terorganisasi dan berfokus pada satu korban pemerintah.
Laporan tersebut juga menjadi pengingat bahwa perangkat USB itu sendiri bukanlah kerentanannya. Sebaliknya, kerentanan berada pada kemampuan malware untuk menggunakan penyimpanan yang dapat dilepas sebagai mekanisme transportasi antar sistem. Flash drive USB hanyalah kendaraannya. Begitu malware memperoleh kemampuan untuk menulis dirinya ke sebuah perangkat, perangkat tersebut dapat menjadi pembawa tanpa sadar untuk infeksi berikutnya.
Perbedaan ini penting karena banyak pembahasan tentang keamanan USB berfokus pada pelarangan total media yang dapat dilepas. Pada kenyataannya, banyak lembaga pemerintah, penyedia layanan kesehatan, fasilitas manufaktur, dan operator industri masih bergantung pada penyimpanan USB untuk fungsi bisnis yang sah. Menghapus USB sepenuhnya sering kali tidak praktis. Mengelola bagaimana perangkat USB digunakan biasanya merupakan pendekatan yang lebih realistis.
Para peneliti merekomendasikan untuk menonaktifkan AutoRun, menerapkan kebijakan USB yang lebih ketat, serta memantau aktivitas DLL yang mencurigakan dan teknik eksekusi di dalam memori. Ini tetap merupakan rekomendasi yang kuat. Namun, pelajaran yang lebih luas mungkin bahkan lebih sederhana: penyerang terus berhasil menggunakan metode yang sudah ada selama puluhan tahun karena kondisi dasar yang memungkinkan serangan tersebut masih tetap ada.
Dua puluh tahun setelah worm USB besar pertama menjadi berita utama, formulanya tetap sangat mirip. Temukan perangkat USB yang dapat ditulis, salin payload, lalu tunggu koneksi berikutnya. Teknologi telah berkembang, malware menjadi lebih canggih, tetapi jalur serangannya tetap sama.
Bagi organisasi yang terus bergantung pada media yang dapat dilepas, kampanye terbaru ini menjadi pengingat bahwa mengendalikan apa yang dapat ditulis ke perangkat USB bisa sama pentingnya dengan mengendalikan apa yang dapat dibaca darinya.
Sumber: Cyber Security News / Unit 42
Diskusi Reddit tentang keamanan USB
Kebijakan Tinjauan Editorial & Teknis
Artikel ini diteliti dan ditulis oleh tim editorial GetUSB.info berdasarkan laporan yang tersedia untuk publik dari para peneliti keamanan siber dan sumber industri. GetUSB.info telah meliput teknologi USB, media yang dapat dilepas, penyimpanan flash, dan perkembangan keamanan USB sejak 2004. Analisis kami berfokus pada mekanisme teknis yang terlibat dalam serangan berbasis USB, perangkat penyimpanan, dan teknologi transportasi data.
Jika memungkinkan, sumber penelitian asli dan laporan keamanan ditinjau untuk memverifikasi klaim teknis sebelum publikasi. Pembaca perlu memahami bahwa investigasi keamanan siber dapat berkembang seiring tersedianya informasi tambahan. Organisasi sebaiknya berkonsultasi dengan profesional keamanan yang berkualifikasi saat mengevaluasi kebijakan keamanan USB, strategi mitigasi malware, atau persyaratan perlindungan data.
GetUSB.info menjaga independensi editorial dan berupaya menyediakan pelaporan faktual, konteks teknis, dan analisis edukatif bagi profesional TI, insinyur, dan penggemar teknologi.
