Киберпреступники применяют QEMU для создания вредоносных виртуальных машин, которые в дальнейшем служат для активации программ-вымогателей и организации удалённых подключений.
Специалисты компании Sophos обнаружили сразу две опасные киберкампании, чьи организаторы задействуют эмуляторы QEMU, чтобы обойти механизмы защиты на конечных устройствах.
QEMU представляет собой универсальный инструмент с открытым исходным кодом для эмуляции и виртуализации, дающий возможность запускать виртуальные машины на целевых системах. В последние годы злоумышленники всё чаще применяют его в своих атаках, так как защитные решения на хосте обычно не способны проверять содержимое виртуальных сред.
Ранее QEMU уже использовали такие группы, как вымогательская организация 3AM, распространители криптомайнера LoudMiner и фишинговая группировка CRON#TRAP.
Злоумышленники применяли QEMU для хранения и запуска вредоносного ПО, а также для формирования скрытых SSH-туннелей к целевым хостам.
«Создание виртуальных машин на заражённых устройствах — довольно редкий, но весьма действенный метод пост-эксплуатации, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Однако на начальном этапе вектор проникновения обычно не отличается необычностью: это либо использование широко известных уязвимостей, либо фишинг и методы социальной инженерии. Ни один из этих способов не требует революционных подходов к защите — достаточно лишь бдительности и своевременного устранения программных уязвимостей в периметре».
Первая из выявленных исследователями кампаний, связанная с распространением шифровальщика Payouts King, стартовала в ноябре 2025 года и получила кодовое название STAC4713.
Вторая, STAC3725, началась в феврале текущего года; её операторы эксплуатируют широко известную уязвимость CitrixBleed 2 в продуктах Citrix NetScaler ADC и Gateway.
STAC4713 эксперты Sophos связывают с угрозным кластером GOLD ENCOUNTER, который активно атакует гипервизоры VMware и среды ESXi.
Атаки начинаются либо с эксплуатации незащищённых VPN-устройств SonicWall, либо, в более свежих случаях, с использования уязвимости CVE-2025-26399 в SolarWinds Web Help Desk.
Получив доступ к системе, они создают отложенную задачу TPMProfiler, с помощью которой на хосте разворачивается виртуальная машина QEMU, причём сразу же наделённая максимальными привилегиями.
Файлы виртуального диска маскируются под базы данных и DLL-библиотеки. На хосте также настраивается перенаправление портов, чтобы обеспечить скрытый доступ к скомпрометированному устройству через SSH-туннель.
Виртуальная машина, в свою очередь, функционирует на базе Alpine Linux 3.22.0, дополненного инструментарием для кибератак: AdaptixC2, Chisel, BusyBox и Rclone.
На следующем шаге атакующие применяют VSS (vssuirun.exe) для формирования теневой копии, после чего перемещают логические группы ключей системного реестра NTDS.dit, SAM и SYSTEM во временные папки.
Помимо этого, в последнее время, начиная с февраля, GOLD ENCOUNTER начал эксплуатировать доступные через сеть Cisco SSL VPN, а в марте — обманным путём вынуждал пользователей Microsoft Teams устанавливать QuickAssist, средство удалённого доступа.
«Во всех ситуациях злоумышленники задействовали легитимный исполняемый файл ADNotificationManager.exe для побочной загрузки вредоносного компонента Havic C2 (vcruntime140_1.dll), а затем, используя Rclone, выводили данные на удалённый SFTP-узел», — отметили исследователи из Sophos.
Как сообщает издание Bleeping Computer, ссылаясь на исследование компании Zscaler, Payouts King, вероятно, связан с одним из бывших аффилиатов («партнёров») хакерской группы BlackBasta. Этот вывод основан на методах получения начального доступа, применяемых PK, включая спам-атаки, фишинг в Microsoft Teams и эксплуатацию Quick Assist.
Используемое ими вредоносное ПО отличается сильной обфускацией и включает ряд механизмов защиты от анализа. Постоянное присутствие обеспечивается через отложенные задачи. Вредонос также отключает системные средства безопасности с помощью низкоуровневых системных вызовов.
Шифровальщик Payouts King использует алгоритмы AES-256 (CTR) и RSA-4096; крупные файлы шифруются частями.
После завершения процесса шифрования злоумышленники оставляют в системе «визитную карточку» со ссылками на свои сайты утечек в даркнете.
Вторая кампания, STAC3725, как уже упоминалось, начинается с компрометации устройств Citrix NetScaler. Затем атакующие внедряют в систему ZIP-архив с вредоносным исполняемым файлом, который, в свою очередь, устанавливает службу AppMgmt, клиент ScreenConnect для обеспечения постоянного присутствия и создаёт нового локального пользователя с правами администратора (CtxAppVCOMService).
Клиентское приложение ScreenConnect подключается к удалённому серверу переадресации и формирует сессию с системными привилегиями; после этого загружает и разворачивает эмулятор QEMU, также со скрытой виртуальной машиной Alpine Linux. Образ диска имеет имя custom.qcow2.
Вместо использования предустановленного инструментария злоумышленники вручную устанавливают и компилируют свои средства компрометации прямо внутри виртуальной машины. В их число входят: Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute и Metasploit.
Исследователи успели зафиксировать сбор учётных данных, инвентаризацию имён пользователей Kerberos, разведку сред Active Directory, а также подготовку данных к выводу на сторонние FTP-серверы.
Компания Sophos советует организациям проверить свою инфраструктуру на наличие несанкционированных виртуальных машин QEMU, подозрительных запланированных задач, выполняемых с максимальными правами, а также нестандартной переадресации SSH-портов и исходящих SSH-туннелей.
