Descoberta e escopo da ameaça
Grupos de ameaças cibernéticas sofisticados estão utilizando o QEMU, um emulador de máquina e virtualizador de código aberto amplamente utilizado, como uma porta dos fundos furtiva para roubar credenciais e entregar ransomware sem disparar alertas de segurança em endpoints. Essa mudança alarmante no comportamento dos atacantes destaca como ferramentas de software confiáveis e amplamente disponíveis estão sendo distorcidas em armas poderosas de evasão dentro de ambientes corporativos.
O QEMU, que é amplamente utilizado para virtualização de hardware e testes de software, tornou-se um alvo atraente para abuso porque a atividade maliciosa executada dentro de uma máquina virtual (VM) é essencialmente invisível para a maioria das ferramentas de proteção de endpoint. Os controles de segurança instalados no sistema hospedeiro não conseguem ver o que acontece dentro da VM oculta, e esses ataques deixam muito pouco evidência forense para os investigadores recuperarem. Isso torna as intrusões baseadas em QEMU extremamente difíceis de detectar e conter em tempo real.
Analistas da Sophos estão investigando ativamente o abuso do QEMU por agentes de ameaça que estão executando VMs ocultas para ocultar suas operações, colher credenciais de domínio e preparar implantações de ransomware contra organizações-alvo. Sua pesquisa identificou duas campanhas de ataque distintas operando desde o final de 2025, rastreadas como STAC4713 e STAC3725, ambas explorando a virtualização como uma estratégia central de evasão.
Campanhas STAC4713 e STAC3725
A campanha STAC4713, primeiro detectada em novembro de 2025, está diretamente ligada à operação de ransomware PayoutsKing e é atribuída a um grupo de ameaças conhecido como GOLD ENCOUNTER. O PayoutsKing emergiu em meados de 2025 e notavelmente não opera sob um modelo de ransomware-as-a-service (RaaS), o que significa que o grupo executa ataques diretamente em vez de depender de afiliados. A análise da Sophos revela que o grupo especificamente visa ambientes de hipervisor e desenvolveu criptografadores projetados para plataformas VMware e ESXi.
A segunda campanha, STAC3725, apareceu pela primeira vez em fevereiro de 2026 e explora a vulnerabilidade CitrixBleed2 (CVE-2025-5777) como seu ponto de entrada inicial. Após obter acesso, os atacantes instalam um cliente malicioso do ScreenConnect para manter a persistência e, em seguida, implantam uma VM QEMU para executar operações de roubo de credenciais contra o ambiente Active Directory da vítima.
Detalhes técnicos da infecção
A cadeia de infecção usada na campanha STAC4713 começa com os atacantes criando uma tarefa agendada chamada "TPMProfiler", que executa o executável QEMU (qemu-system-x86_64.exe) sob a conta SYSTEM. A tarefa inicia usando uma imagem de disco rígido virtual que usa extensões de arquivo incomuns para evitar detecção, anteriormente disfarçada como vault.db e mais tarde alterada para um arquivo DLL chamado bisrv.dll em janeiro de 2026. Essa disfarce inteligente de arquivo é uma etapa deliberada para fazer o disco virtual se misturar a arquivos do sistema legítimos e deslizar pastas de ferramentas de monitoramento de segurança.
Uma vez que a tarefa agendada é executada, ela também configura o encaminhamento de porta de portas personalizadas (32567 e 22022) para a porta 22 para acesso SSH. Na inicialização do sistema, a imagem de disco usa AdaptixC2 ou OpenSSH para estabelecer um túnel SSH reverso para um endereço IP remoto, criando um canal de acesso remoto oculto que contorna completamente as detecções de endpoint padrão. A própria VM QEMU hospeda uma imagem Alpine Linux 3.22.0 pré-carregada com ferramentas de atacantes, incluindo Linker2, AdaptixC2, um ofuscador de tráfego WireGuard personalizado chamado wg-obfuscator, BusyBox, Chisel e Rclone.
Na STAC3725, em vez de implantar um kit de ferramentas pré-construído, os atacantes compilam manualmente seu conjunto completo de ataque dentro da VM. Isso inclui Impacket, KrbRelayX, Coercer, BloodHound.py, NetExec, Kerbrute e Metasploit, juntamente com bibliotecas de suporte para Python, Rust, Ruby e C. A atividade maliciosa observada incluiu o download de credenciais, enumeração de nomes de usuário Kerberos via Kerbrute, reconhecimento de Active Directory via BloodHound e preparação de payloads usando servidores FTP.
Impacto e alcance
Essa técnica não é inteiramente nova, mas o aumento recente em incidentes relacionados ao QEMU aponta para uma tendência crescente entre grupos de ameaças sofisticados. O uso de virtualização como estratégia de evasão permite que os atacantes operem dentro de um ambiente isolado que os controles de segurança do host não podem inspecionar. Isso representa um risco significativo para organizações que dependem de virtualização para testes, desenvolvimento ou produção, especialmente em ambientes onde o QEMU é instalado para fins legítimos.
O impacto operacional é claro: a capacidade de roubar credenciais de domínio e implantar ransomware sem detecção imediata pode levar a violações de dados massivas e interrupções operacionais críticas. A natureza furtiva do ataque significa que as organizações podem ser comprometidas por longos períodos antes que a intrusão seja descoberta.
Medidas de mitigação recomendadas
As organizações devem tomar as seguintes ações defensivas em resposta a essa ameaça:
- Auditar todos os ambientes para instalações não autorizadas do QEMU e tarefas agendadas inesperadas, especialmente qualquer uma executada sob a conta SYSTEM.
- Monitorar túneis SSH de saída originando de portas não padrão e sinalizar qualquer imagem de disco virtual carregando extensões de arquivo incomuns como .db, .dll ou .qcow2.
- Implementar autenticação multifator (MFA) em todos os sistemas de VPN e acesso remoto para limitar oportunidades de acesso inicial.
- Aplicar patches para vulnerabilidades conhecidas, incluindo CitrixBleed2 (CVE-2025-5777) e SolarWinds Web Help Desk (CVE-2025-26399), para reduzir a exposição à exploração ativa.
- Implementar regras de detecção em nível de rede para identificar configurações incomuns de encaminhamento de porta que visam a porta 22 de portas de origem não padrão.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar imediatamente a postura de segurança de virtualização em suas organizações. Isso inclui a implementação de monitoramento específico para o uso do QEMU, a revisão de tarefas agendadas em nível de sistema e a verificação de conexões de saída incomuns. A adoção de uma abordagem de confiança zero, onde a execução de código dentro de VMs é monitorada e controlada, é essencial para mitigar esse vetor de ataque.
Perguntas frequentes
Q: O QEMU é malicioso por natureza?
A: Não, o QEMU é uma ferramenta legítima de virtualização. O risco surge quando é usado por atacantes para esconder atividades maliciosas dentro de VMs que os controles de segurança do host não podem ver.
Q: Como posso detectar o uso do QEMU?
A: Monitore a execução de processos qemu-system-x86_64.exe, especialmente se executados sob a conta SYSTEM ou em tarefas agendadas incomuns. Verifique também por extensões de arquivo incomuns associadas a imagens de disco virtual.
Q: Qual é a severidade dessa ameaça?
A: A severidade é alta devido à capacidade de evasão de detecção e ao impacto potencial de roubo de credenciais e implantação de ransomware em ambientes corporativos críticos.