Skryté virtuální stroje: útočníci zneužívají QEMU k šíření malwaru
Útočníci stále častěji využívají open-source emulátor tool QEMU k tomu, aby ukrývali malware uvnitř virtual machines . Tím obcházejí běžnou detection , kradejí citlivá data a nakonec nasazují ransomware – a to tak, že na hostitelském systému téměř nic nezanechají. Tento přístup využívá skryté prostředí virtualizace, které výrazně komplikuje forensic analysis a poskytuje útočníkům čas působit neodhaleni.
Společnost Sophos analyzovala dvě nové kampaně – STAC4713 a STAC3725 – jejichž aktivity byly zaznamenány od konce roku 2025. První z nich, STAC4713, využívá chybu v nástroji SolarWinds Web Help Desk (CVE-2025–26399), aby získala přístup a následně nasadila QEMU prostřednictvím naplánované task s názvem „TPMProfiler“. Virtuální stroj běží pod účtem SYSTEM a používá obraz disku s neobvyklou příponou – dříve jako vault.db, nyní jako bisrv.dll – čímž maskuje svou přítomnost jako legitimate file .
Uvnitř virtuálního stroje běží minimalistická verze Alpine Linux 3.22.0, vybavená nástroji jako AdaptixC2, Chisel, Rclone nebo BusyBox. Ty umožňují remote access , přenos dat a zamlžování síťového provozu. Útočníci také vytvářejí reverzní SSH tunel přes nestandardní porty, čímž obejdou bezpečnostní controls a získají trvalé spojení se svým řídícím serverem.
Druhá kampaň, STAC3725, využívá zranitelnost CitrixBleed2 (CVE-2025–5777) a nástroj ScreenConnect k získání přístupu. Po infikování systému útočníci ručně kompilují a instalují pokročilé nástroje jako BloodHound, Metasploit nebo Impacket – což naznačuje, že tento přístup prodávají other attackers . Takový model – tzv. initial access brokering – umožňuje specializovaným týmům efektivně šířit malicious activity .
Proto je důležité, aby organizace prováděly pravidelné audity svých systémů. Měly by hledat neočekávané scheduled tasks , podezřelé přesměrování portů a soubory s neobvyklými příponami. Sledování odchozích spojení z nestandardních portů a detekce obrazů typu .qcow2 může být klíčová pro odhalení takovýchto hidden threats .
Tohle je vážně next level další úroveň – použít QEMU jako útočnou platformu? Kdo by to čekal. Naší síti už běží výstražný skript proti podezřelým .dll souborům.
Zajímavé, jak legitimate tools důvěryhodné nástroje jako QEMU nebo ScreenConnect zneužívají. Ochrana musí být teď mnohem chytřejší než jen detekce známého viru.
A co když mám QEMU legálně pro vývoj? Nebudou mě takové systémy označovat za útočníka? Falešný poplach by mohl způsobit víc škody než užitku.
Pořád zapomínají, že většina firem ani neví, co je QEMU. Bezpečnostní aktualizace a školení zaměstnanců by měly být povinné.
Tahle dvoustupňová taktika – nejprve proniknout, pak prodávat přístup – je growing trend rostoucí trend. Ukazuje, jak kyberkriminalita funguje jako služba.
A já si stěžuju, že mi nefunguje tiskárna. Mezitím někdo běží v virtual machine virtuálním stroji na mém serveru a krade data. Díky za informaci, teď budu kontrolovat i registry.