Ransomware-ul Payouts King utilizează QEMU pentru a ocoli securitatea endpoint-urilor - Atacatorii creează mașini virtuale ascunse pentru a executa cod malițios și a fura date

Ransomware-ul Payouts King își crește șansele de a trece de protecțiile endpoint folosind mașini virtuale ascunse. Potrivit BleepingComputer , atacatorii abuzează de emulatorul QEMU ca „reverse SSH backdoor”, rulând mașini virtuale (VM) pe sistemele compromise pentru a ocoli soluțiile de securitate instalate pe gazdă, care nu pot inspecta conținutul din interiorul VM-urilor. Miza operațională pentru companii este că această tehnică mută o parte din activitatea malițioasă „în afara razei” instrumentelor clasice de detecție de pe stații și servere. În VM-uri, atacatorii pot executa încărcături (payload-uri), pot stoca fișiere malițioase și pot crea tuneluri de acces la distanță prin SSH, inclusiv cu redirecționare de porturi, ceea ce complică investigația și răspunsul la incident. Ce au observat cercetătorii și cum este folosit QEMU Cercetătorii Sophos au documentat două campanii în care QEMU a fost folosit ca parte din arsenalul atacatorilor, inclusiv pentru colectarea credențialelor de domeniu, notează publicația, trimițând la analiza Sophos . STAC4713 (observată prima dată în noiembrie 2025) a fost asociată cu operațiunea Payouts King. STAC3725 (observată în februarie) exploatează vulnerabilitatea CitrixBleed 2 (CVE‑2025‑5777) în instanțe NetScaler ADC și Gateway. În campania STAC4713, Sophos indică faptul că actorul malițios creează un task programat numit „TPMProfiler” care pornește o VM QEMU ascunsă cu privilegii SYSTEM. Sunt folosite fișiere de disc virtual camuflate ca baze de date și fișiere DLL, iar accesul este menținut prin tuneluri SSH și port forwarding. VM-ul rulează Alpine Linux 3.22.0 și include un set de unelte menționate de Sophos, precum AdaptixC2, Chisel, BusyBox și Rclone. Pentru acces inițial, cercetătorii au observat utilizarea unor VPN-uri SonicWall expuse, iar în atacuri mai recente exploatarea unei vulnerabilități SolarWinds Web Help Desk (CVE-2025-26399). Vectori de acces inițial: de la VPN expus la inginerie socială în Teams În incidente mai recente atribuite actorului, Sophos descrie și alte căi de intrare: într-un atac din februarie ar fi fost folosit un Cisco SSL VPN expus, iar în martie atacatorii s-au dat drept personal IT și au convins angajați, prin Microsoft Teams, să descarce și să instaleze QuickAssist. „În ambele situații, actorii au folosit binarul legitim ADNotificationManager.exe pentru a încărca lateral un payload Havoc C2 (vcruntime140_1.dll) și apoi au folosit Rclone pentru a exfiltra date către o locație SFTP la distanță”, arată Sophos. Separat, un raport Zscaler publicat în această săptămână susține că Payouts King este probabil legat de foști afiliați BlackBasta, pe baza unor metode similare de acces inițial (spam bombing, phishing prin Microsoft Teams și abuz de Quick Assist), potrivit Zscaler . De ce contează pentru apărarea endpoint: semnale de detecție recomandate Întrucât soluțiile de securitate de pe sistemul gazdă nu pot scana în interiorul VM-urilor, Sophos recomandă organizațiilor să urmărească indicatori care pot trăda prezența QEMU și a tunelurilor folosite pentru control la distanță, inclusiv: instalări neautorizate de QEMU; task-uri programate suspecte care rulează cu privilegii SYSTEM; redirecționări de porturi SSH neobișnuite; tuneluri SSH către exterior pe porturi neuzuale. În campania STAC3725, după compromiterea dispozitivelor NetScaler, atacatorii ar fi livrat o arhivă ZIP cu un executabil malițios care instalează un serviciu („AppMgmt”), creează un utilizator local cu drepturi de administrator (CtxAppVCOMService) și instalează un client ScreenConnect pentru persistență. Ulterior, este descărcat un pachet QEMU care rulează o VM Alpine Linux ascunsă folosind o imagine de disc „custom.qcow2”, iar uneltele sunt instalate și compilate manual în interiorul VM-ului (inclusiv Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute și Metasploit). Pentru echipele IT și de securitate, mesajul practic este că investigarea unui incident de ransomware nu mai poate presupune automat că „totul se vede” la nivelul sistemului de operare gazdă: apar tot mai des scenarii în care activitatea critică se mută într-o mașină virtuală ascunsă, iar detecția trebuie să includă și urme de virtualizare, tunelare și persistență la nivel de sistem. [...]