Атаки на бизнес набирают обороты: злоумышленники скрывают вредоносную активность в виртуальных машинах QEMU

Использование QEMU для обхода защиты - давно известная, но вновь набирающая популярность техника. Ещё в 2020 году специалисты Mandiant описывали, как угрозы применяли QEMU на Linux-системах для размещения инструментов и организации обратных SSH-туннелей. В марте 2024 года о схожих случаях для скрытого сетевого туннелирования сообщали аналитики "Лаборатории Касперского". Однако, по данным Sophos, с конца 2025 года наблюдается заметный всплеск подобной активности. Исследователи выделяют две отдельные кампании - STAC4713 и STAC3725, - которые используют QEMU в качестве ключевого инструмента для уклонения от обнаружения.

Кампания STAC4713, впервые замеченная в ноябре 2025 года, имеет финансовую мотивацию и связана с программой-вымогателем PayoutsKing. В нескольких инцидентах злоумышленники использовали QEMU в качестве скрытого обратного SSH-шлюза для доставки своих инструментов и сбора учётных данных домена. Для развёртывания виртуальной машины создаётся запланированная задача с именем ‘TPMProfiler’, которая запускает QEMU от имени системной учётной записи. Виртуальный жёсткий диск маскируется под файлы с необычными расширениями - например, vault.db или bisrv.dll. Задача также настраивает проброс портов на 22-й порт (SSH), создавая скрытый канал удалённого доступа к виртуальной машине. Внутри этой машины на базе Alpine Linux находятся различные инструменты, включая фреймворк для командования и управления AdaptixC2, обфускатор трафика WireGuard, а также утилиты для работы с сетью и файлами, такие как Chisel и Rclone.

При расследовании этой кампании специалисты Sophos также отметили использование злоумышленниками легитимных системных инструментов. Например, для создания теневых копий томов применялся сервис VSS, а с помощью команды print копировалась база данных Active Directory (NTDS.dit). Для исследования сетевых ресурсов атакующие запускали даже такие безобидные приложения, как Paint, Notepad и Microsoft Edge. Векторы начального доступа варьировались: от атак на VPN-шлюзы SonicWall без многофакторной аутентификации до эксплуатации уязвимости в SolarWinds Web Help Desk (CVE-2025-26399), о чём в феврале 2026 года также сообщали Microsoft и Huntress.

Исследователи считают, что кампания STAC4713 с высокой долей вероятности связана с группировкой GOLD ENCOUNTER, стоящей за PayoutsKing. Эта группа специализируется на атаках на гипервизоры и имеет шифровальщики для сред VMware и ESXi. Важно отметить, что операторы PayoutsKing заявляют, что не работают по модели ransomware-as-a-service (RaaS) и не используют аффилированных лиц, что говорит о едином источнике угрозы. Однако с февраля 2026 года тактика GOLD ENCOUNTER изменилась: они отказались от QEMU и начали использовать другие векторы, например, взломанные VPN Cisco или фишинговые рассылки с последующей подменой сотрудников IT-поддержки в Microsoft Teams.

Параллельно действует кампания STAC3725, впервые обнаруженная в феврале 2026 года. Она использует уязвимость в NetScaler, известную как CitrixBleed2 (CVE-2025-5777), для получения первоначального доступа. После этого злоумышленники устанавливают вредоносный клиент ScreenConnect для закрепления в системе и разворачивают виртуальную машину QEMU для установки дополнительных инструментов. В отличие от STAC4713, где используется готовый набор инструментов, в этой кампании атакующие вручную компилируют и устанавливают внутри виртуальной машины целый арсенал, включая фреймворки для пентеста Impacket и Metasploit, инструменты для атак на Kerberos KrbRelayx и Kerbrute, а также среду для разведки в Active Directory BloodHound. Последующая активность в разных инцидентах сильно различалась, что указывает на возможную продажу доступа к скомпрометированным системам разным группам злоумышленников.

Злоупотребление QEMU представляет собой растущий тренд в области уклонения от защиты. Скрытая виртуальная машина с предустановленным набором для атаки даёт угрозе долгосрочный доступ к сети, позволяя развертывать вредоносное ПО, собирать учётные данные и перемещаться laterally, не оставляя следов на основном хосте. Организациям рекомендуется проводить аудит на наличие несанкционированных установок QEMU, неожиданных запланированных задач, работающих от имени SYSTEM, и нестандартных правил проброса портов на 22-й порт. Сетевые защитники должны отслеживать исходящие SSH-туннели с нестандартных портов и обращать внимание на виртуальные диски с необычными расширениями вроде .db, .dll или .qcow2. Понимание этих техник позволяет выстроить более эффективную оборону против сложных атак, которые всё чаще мимикрируют под легитимную активность в корпоративной ИТ-среде.

IPv4

• 144.208.127.190
• 158.158.0.165
• 194.110.172.152
• 74.242.216.76
• 98.81.138.214

Domains

• vtps.us

MD5

• 6f55743091410dad6cdb0b7e474f03e7
• b186baf2653c6c874e7b946647b048cc
• b752ebfc1004f2c717609145e28243f3
• f7a11aeaa4f0c748961bbebb2f9e12b6

SHA1

• 25e4d0eacff44f67a0a9d13970656cf76e5fd78c
• 66dc383e9e0852523fe50def0851b9268865f779
• 6c09b0d102361888daa7fa4f191f603a19af47cb
• 8c8e75dc4b4e1f201b56133a00fa9d1d711ccb50
• 903edad58d54f056bd94c8165cc20e105b054fa8

SHA256

• 3a33b5bceb1eba4cc749534b03dd245f965d8f200aa02392baad78f5021a20ff
• 61c14c01460810f6f5f760daf8edbda82eea908b1a95052f8e0f9c4162c2900c
• 7ae413b76424508055154ee262c7567705dc1ac00607f5ac2e43d032221b34b3
• a65f0144101d93656c5f9ad445b3993336e1f295a838351aeca6332c0949b463
• c6b848c6a61685724fa9e2b3f6e3a118323ee0c165d1aa8c8a574205a4c4be59
• f3194018d60645e43afabac33ceb4e852f95241b410cd726b1c40e3021589937