Il problema delle USB rubber ducky e delle BadUSB in generale e' che puoi solo eseguire una serie corta di comandi, non hanno inoltre spazio dove inserire dati/eseguibili ed anche se lo avessero non potresti scriptare di lanciarli con keystroke perche' non sai nemmeno che lettera di unita' gli verra' assegnata da Windows. Andrebbe quindi fatto un giro piu' largo, magari scrivendo i comandi necessari per il Download & run. Questo espone ad una serie di altri problemi, e dovrai istruire il malware che viene scaricato per esfiltrare i dati in modo furbo, via internet, o trovando la partizione dati della usb.
Ad esempio hai citato mimikatz, non e' possibile usarlo con questo attacco, almeno cosi' com'e', se provi a scaricarlo dal web viene rilevato, e non puoi pensare di scrivere i singoli byte tramite keystroke, oltre per l'assenza di hex editor di default c'e' anche il problema che i pc lenti potrebbero scambiare la posizione di due caratteri e non runnare piu'. Non puoi nemmeno fare tutto via cmd perche' per estrarre le password dai vari browser ti servono primitive crittografiche, sqlite e altre dll, serve proprio un eseguibile.