Egyelőre nem tudható, hogy mi a támadók célja, mivel települése után a féreg várakozó állapotba helyezi magát. A Red Canary kutatói fedezték fel még tavaly szeptemberben a Raspberry Robin nevű kártevőt, ami a QNAP márkájú tajvani gyártó külső adattárolóin terjed. A féreg-képességekkel ellátott kártevővel kapcsolatos támadói terveket nem igazán fejtették meg.
A fertőzött adattárolókat technológiai és gyártó vállalatoknál figyelték meg, de azt még nem tárták fel, hogy az érintett cégek között van-e valamilyen kapcsolódási pont. Azt sem tudják pontosan, hogy a féreg hogyan került eredetileg az adattárolókra.
A fertőzött adattárolón egy férget helyeztek el, amit egy legitim mappára mutató .LNK parancsikonnak álcáztak. Amikor az UBS-s merevlemezt Windows operációs rendszerű géphez csatlakoztatják, a féreg aktiválja magát. A cmd.exe beolvassa és futtatja az eszközön tárolt kártevőt, majd a msiexec.exe megpróbál csatlakozni egy rövid URL-hez – gyakran a QNAP céggel kapcsolatos ez a webcím.
Ha ez a kapcsolat sikeres, akkor egy fertőzött .dll fájlt tölt le és telepít. Ehhez a Windows operációs rendszer legitim alkalmazásait használja a féreg, mint a fodhelper.exe, rundll32.exe és odbcconf.exe – ezek segítségével a használói fiók ellenőrzését (User Account Control) is megkerüli. Majd a támadók külső szerverével kommunikál a regsvr32.exe, rundll32.exe és dllhost.exe folyamatokat felhasználva.
Ezután a kártevő pihen, és várja a további parancsokat, de hogy pontosan milyen céljai vannak a támadóknak, egyelőre nem tudható. Feltehetően állandó jelenlétüket alapozzák meg a féreg segítségével, és hosszasan szeretnének kémkedni az adott vállalatok után.
Az USB-s eszközök segítségével terjedő fenyegetettségekről itt olvasható egy hosszabb, elemző cikk. Majd egy hónappal később, 2022 januárjában az FBI olyan támadásokra figyelmeztetett, amelyeket mérgezett USB meghajtók segítségével indítottak.