Gli attaccanti abusano di QEMU per creare macchine virtuali nascoste che eludono completamente i sistemi di sicurezza endpoint e distribuiscono ransomware come PayoutsKing. Le campagne identificate da Sophos tra novembre 2025 e febbraio 2026 mostrano un salto qualitativo nelle tecniche di evasione, sfruttando l’esecuzione di qemu-system-x86_64.exe sotto account SYSTEM. Questo approccio consente di eseguire intere catene di attacco all’interno di ambienti isolati invisibili agli strumenti di difesa tradizionali. Il risultato è un accesso persistente, silenzioso e difficile da rilevare. Le organizzazioni rischiano compromissioni prolungate senza segnali evidenti, con conseguente furto di credenziali e cifratura dei dati.
Cosa leggere
QEMU viene avviato tramite task pianificati con privilegi SYSTEM
Gli aggressori configurano task pianificati con nomi apparentemente legittimi come TPMProfiler per eseguire qemu-system-x86_64.exe con privilegi elevati. Questa tecnica consente di mantenere persistenza senza attirare attenzione nei log di sistema. I dischi virtuali utilizzati dalle VM vengono mascherati con estensioni comuni come .db o .dll, rendendo difficile distinguerli da file applicativi legittimi. Una volta avviata la macchina virtuale, gli attaccanti caricano al suo interno tool completi per tunneling, esfiltrazione e movimento laterale. QEMU opera in modalità user-mode e non richiede hardware dedicato, permettendo l’esecuzione di binari nativi all’interno della VM senza interazione diretta con l’host. Questo isolamento rappresenta il punto chiave dell’evasione.
Le campagne STAC4713 e STAC3725 mostrano approcci distinti ma convergenti
La campagna STAC4713 si sviluppa tra novembre 2025 e gennaio 2026 ed è collegata al gruppo GOLD ENCOUNTER e al ransomware PayoutsKing. Gli attaccanti ottengono accesso iniziale tramite vulnerabilità in VPN SonicWall o exploit su SolarWinds Web Help Desk. Dopo l’intrusione creano una VM con disco mascherato e configurano port forwarding su porte non standard come 32567 o 22022 verso la porta 22 interna, stabilendo tunnel reverse SSH persistenti. All’interno della VM vengono eseguiti tool come AdaptixC2 e strumenti per snapshot VSS che permettono l’estrazione di database critici come NTDS.dit, SAM e SYSTEM. La campagna STAC3725, osservata a febbraio 2026, utilizza invece la vulnerabilità CitrixBleed2 per l’accesso iniziale e installa ScreenConnect per mantenere persistenza. In questo caso la VM esegue Alpine Linux e ospita tool compilati manualmente per attività di reconnaissance e attacco Active Directory.
Il port forwarding QEMU crea tunnel SSH invisibili
Uno degli elementi più sofisticati dell’abuso di QEMU riguarda la gestione del traffico di rete. Gli attaccanti configurano port forwarding tra host e VM per creare tunnel SSH nascosti che permettono accesso remoto continuo senza esporre porte evidenti. Il traffico viene instradato attraverso porte non standard e appare come comunicazione legittima, rendendo difficile il rilevamento da parte dei sistemi di sicurezza basati su pattern. Questa tecnica consente di mantenere canali di comando e controllo stabili anche in ambienti monitorati. Le connessioni verso server remoti risultano mascherate e integrate nel traffico normale, aumentando ulteriormente la stealthiness dell’operazione.
Le VM Alpine Linux diventano piattaforme di attacco complete
All’interno delle macchine virtuali gli attaccanti installano distribuzioni leggere come Alpine Linux e costruiscono ambienti operativi completi. Tool come BusyBox forniscono comandi Unix essenziali mentre utility avanzate come Chisel e wg-obfuscator permettono la creazione di tunnel cifrati e proxy WireGuard offuscati. Framework C2 come AdaptixC2 e Havoc vengono eseguiti per gestire le operazioni. In STAC3725 gli aggressori utilizzano BloodHound per mappare le relazioni Active Directory e Kerbrute per enumerare account Kerberos. Tutte queste attività avvengono all’interno della VM senza lasciare tracce dirette sull’host, rendendo inefficaci i controlli tradizionali.
PayoutsKing utilizza QEMU come fase preparatoria all’attacco ransomware
Il ransomware PayoutsKing, attivo dalla metà del 2025, utilizza QEMU come ambiente di staging per preparare l’infrastruttura dell’attacco. Il gruppo GOLD ENCOUNTER non adotta un modello Ransomware-as-a-Service ma opera in modo diretto, selezionando target e ottimizzando ogni fase. La VM viene utilizzata per raccogliere credenziali, mappare l’infrastruttura e preparare l’ambiente prima della cifratura. Il focus su hypervisor come VMware ESXi indica una strategia orientata a massimizzare l’impatto distruggendo ambienti virtualizzati critici. L’assenza di tecniche di doppia estorsione suggerisce un approccio mirato alla distruzione operativa piuttosto che alla negoziazione.
Le tecniche di evasione superano i limiti degli EDR tradizionali
L’uso di QEMU introduce un livello di isolamento che rende inefficaci molti strumenti di sicurezza endpoint. Gli EDR monitorano processi e attività sull’host ma non hanno visibilità diretta sulle operazioni interne alla VM. Questo crea un gap significativo nella capacità di rilevamento. Gli attaccanti sfruttano questa lacuna per eseguire attività complesse senza generare alert. Sophos ha identificato pattern specifici come l’uso di QEMU con port forwarding e dischi virtuali sospetti, ma senza regole dedicate queste attività possono passare inosservate per settimane. L’evasione delle sandbox tradizionali rappresenta uno dei principali vantaggi di questa tecnica.
Gli attaccanti esfiltrano credenziali e dati critici senza rumore
Le campagne osservate includono operazioni avanzate di esfiltrazione dati. Gli aggressori utilizzano snapshot VSS per accedere a file di sistema e database Active Directory, estraendo credenziali sensibili. File come NTDS.dit vengono copiati e trasferiti tramite SMB mentre tool come Rclone gestiscono l’invio verso server remoti. In STAC3725 vengono utilizzati anche strumenti per il furto di cookie browser e driver vulnerabili per ottenere accesso a livello kernel. Tutte queste attività avvengono all’interno della VM, evitando logging diretto sull’host e riducendo drasticamente le tracce forensi disponibili.
Sophos introduce rilevamenti specifici contro l’abuso di QEMU
Per contrastare queste tecniche, Sophos ha sviluppato regole dedicate per identificare comportamenti anomali legati a QEMU. Tra queste figurano rilevamenti per AdaptixC2, esecuzioni sospette di QEMU con port forwarding e dump di file NTDS. L’Application Control permette di bloccare esecuzioni non autorizzate del binario qemu-system-x86_64.exe. Le organizzazioni devono monitorare task pianificati eseguiti sotto account SYSTEM, porte in ascolto non standard e file con estensioni mascherate. Anche il monitoraggio del traffico SSH outbound risulta fondamentale per individuare tunnel nascosti.
L’abuso di QEMU segna un cambio di paradigma nelle minacce
L’utilizzo di hypervisor open-source come QEMU evidenzia una trasformazione nelle tecniche di attacco. Strumenti legittimi diventano vettori offensivi quando combinati con strategie di evasione avanzate. La flessibilità di QEMU, unita alla sua natura open-source, consente agli attaccanti di adattare rapidamente le proprie operazioni. Questo trend aumenta la complessità per i team di sicurezza, che devono estendere il monitoraggio oltre i processi tradizionali e includere la virtualizzazione non autorizzata.
Le aziende devono rafforzare il monitoraggio degli endpoint
Le organizzazioni devono adottare un approccio più rigoroso alla sicurezza degli endpoint. È fondamentale verificare la presenza di installazioni QEMU non documentate e controllare task pianificati sospetti. Il monitoraggio del traffico di rete verso porte non standard e connessioni SSH reverse rappresenta una misura critica. L’implementazione di policy di Application Control limita l’uso di strumenti di virtualizzazione a contesti autorizzati. Senza queste contromisure gli attaccanti possono mantenere accessi persistenti difficili da individuare.
QEMU diventa un vettore chiave per attacchi stealth avanzati
Originariamente progettato per emulazione e testing, QEMU si trasforma in uno strumento offensivo altamente efficace. La capacità di creare ambienti isolati e completamente funzionali lo rende ideale per operazioni stealth. Gli attaccanti sfruttano questa caratteristica per costruire infrastrutture malevole invisibili agli strumenti di sicurezza tradizionali. Il fenomeno evidenzia la necessità di una revisione completa delle strategie di difesa, includendo controlli su tutti i livelli di virtualizzazione presenti negli endpoint.
Le difese tradizionali mostrano limiti evidenti
I sistemi di sicurezza basati esclusivamente sul monitoraggio dell’host non riescono a intercettare attività che avvengono all’interno di ambienti virtualizzati. Log e audit risultano puliti mentre operazioni critiche si svolgono in modo isolato. Questo gap di visibilità viene sfruttato sistematicamente dagli attaccanti. L’aumento di casi simili suggerisce che l’abuso di hypervisor continuerà a crescere, rendendo necessario un aggiornamento delle strategie difensive.
Le campagne confermano l’evoluzione delle minacce ransomware
Le operazioni STAC4713 e STAC3725 dimostrano un elevato livello di coordinazione e modularità. Gli attaccanti combinano accesso iniziale tramite vulnerabilità note, creazione di VM nascoste e utilizzo di tool avanzati per preparare attacchi ransomware. L’integrazione di QEMU nella catena di attacco rappresenta una evoluzione significativa che aumenta la difficoltà di rilevamento. Il caso evidenzia come i gruppi ransomware continuino ad adattarsi rapidamente per mantenere il vantaggio operativo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
