**QEMU** ist ein Open-Source-CPU-Emulator und ein Systemvirtualisierungstool, das es Benutzern ermöglicht, Betriebssysteme als virtuelle Maschinen (VMs) auf einem Host-Computer auszuführen. Da Sicherheitslösungen auf dem Host diese VMs oft nicht scannen können, missbrauchen Bedrohungsakteure **QEMU** zunehmend für bösartige Zwecke. ### QEMU-Missbrauch auf dem Vormarsch Diese Technik wurde bereits in früheren Operationen verschiedener Bedrohungsakteure beobachtet, darunter die **3AM** Ransomware-Gruppe, **LoudMiner** Kryptomining-Kampagnen und **CRON#TRAP** Phishing-Angriffe. Das Cybersicherheitsunternehmen **Sophos** hat kürzlich zwei Kampagnen dokumentiert, bei denen Angreifer **QEMU** zur Sammlung von Domain-Anmeldeinformationen als Teil ihres Angriffswerkzeugs einsetzten. Eine Kampagne, die von **Sophos** als STAC4713 verfolgt wird, wurde erstmals im November 2025 beobachtet und steht im Zusammenhang mit der **Payouts King** Ransomware-Operation. Die andere, als STAC3725 verfolgt und im Februar beobachtet, nutzt die **CitrixBleed 2** (**CVE‑2025‑5777**) Schwachstelle in **NetScaler ADC** und **Gateway**-Instanzen aus. ### Payouts King und GOLD ENCOUNTER Forscher haben die Bedrohungsakteure hinter der STAC4713-Kampagne mit der **GOLD ENCOUNTER** Bedrohungsgruppe in Verbindung gebracht, die für Angriffe auf Hypervisoren und Verschlüssler für **VMware** und **ESXi**-Umgebungen bekannt ist. Laut **Sophos** erstellen die Angreifer eine geplante Aufgabe namens 'TPMProfiler', um eine versteckte **QEMU**-VM als SYSTEM zu starten. Sie verwenden virtuelle Festplattendateien, die als Datenbanken und DLL-Dateien getarnt sind, und richten Port-Weiterleitungen ein, um über einen Reverse-SSH-Tunnel verdeckten Zugriff auf den infizierten Host zu ermöglichen. Die VM führt **Alpine Linux** Version 3.22.0 aus, die Angreiferwerkzeuge wie AdaptixC2, Chisel, BusyBox und Rclone enthält. **Sophos** berichtet, dass der anfängliche Zugriff über exponierte **SonicWall** VPNs erfolgte, während die Ausnutzung der **SolarWinds** Web Help Desk Schwachstelle **CVE-2025-26399** bei neueren Angriffen beobachtet wurde. Nach der Infektion verwenden die Bedrohungsakteure VSS (vssuirun.exe), um eine Schattenkopie zu erstellen, und verwenden dann den Befehl 'print' über SMB, um NTDS.dit, SAM und SYSTEM-Hives in temporäre Verzeichnisse zu kopieren. Neuere Vorfälle, die diesem Akteur zugeschrieben werden, nutzten unterschiedliche anfängliche Zugangsvektoren. Bei einem Angriff im Februar nutzte **GOLD ENCOUNTER** ein exponiertes **Cisco** SSL VPN. Im März gaben sie sich als IT-Mitarbeiter aus und täuschten Mitarbeiter über **Microsoft Teams** dazu, **QuickAssist** herunterzuladen und zu installieren. "In beiden Fällen nutzten die Bedrohungsakteure die legitime ADNotificationManager.exe-Binärdatei, um eine **Havoc C2**-Payload (vcruntime140_1.dll) per Sideload zu laden und nutzten dann Rclone, um Daten an einen entfernten SFTP-Speicherort zu exfiltrieren", stellte **Sophos** fest. Laut einem **Zscaler**-Bericht ist **Payouts King** wahrscheinlich mit ehemaligen **BlackBasta**-Affiliates verbunden, basierend auf der Verwendung ähnlicher anfänglicher Zugriffsmethoden wie Spam-Bombing, **Microsoft Teams**-Phishing und **Quick Assist**-Missbrauch. Die Ransomware verwendet starke Verschleierung und Anti-Analyse-Mechanismen, stellt Persistenz über geplante Aufgaben her und beendet Sicherheitstools mithilfe von Low-Level-Systemaufrufen. Das Verschlüsselungsschema von **Payouts King** verwendet AES-256 (CTR) mit RSA-4096, mit intermittierender Verschlüsselung für größere Dateien. Die Lösegeldforderungen leiten Opfer zu Leak-Seiten im Dark Web.  ### Ausnutzung von CitrixBleed 2 Die zweite von **Sophos** beobachtete Kampagne (STAC3725) ist seit Februar aktiv und nutzt die **CitrixBleed 2**-Schwachstelle für den anfänglichen Zugriff aus. Nach der Kompromittierung von **NetScaler**-Geräten stellen die Angreifer ein ZIP-Archiv bereit, das eine bösartige ausführbare Datei enthält, die einen Dienst namens 'AppMgmt' installiert, einen neuen lokalen Administratorbenutzer (CtxAppVCOMService) erstellt und einen **ScreenConnect**-Client zur Persistenz installiert. Der **ScreenConnect**-Client stellt eine Verbindung zu einem entfernten Relay-Server her und baut eine Sitzung mit Systemprivilegien auf. Anschließend wird ein **QEMU**-Paket heruntergeladen und extrahiert, das eine versteckte **Alpine Linux**-VM mit einem benutzerdefinierten custom.qcow2-Festplattenimage ausführt. Anstatt eines vorgefertigten Toolkits installieren und kompilieren die Angreifer ihre Werkzeuge, darunter Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute und **Metasploit**, manuell innerhalb der VM. Beobachtete Aktivitäten umfassen die Erfassung von Anmeldeinformationen, die Enumeration von Kerberos-Benutzernamen, die Aufklärung von **Active Directory** und die Vorbereitung von Daten zur Exfiltration über FTP-Server. ### Empfehlungen zur Abwehr **Sophos** empfiehlt Organisationen, nach nicht autorisierten **QEMU**-Installationen, verdächtigen geplanten Aufgaben, die mit SYSTEM-Privilegien ausgeführt werden, ungewöhnlichen SSH-Port-Weiterleitungen und ausgehenden SSH-Tunneln über nicht standardmäßige Ports Ausschau zu halten.