**QEMU** es un emulador de CPU de código abierto y una herramienta de virtualización de sistemas que permite a los usuarios ejecutar sistemas operativos como máquinas virtuales (VMs) en una computadora host. Dado que las soluciones de seguridad en el host a menudo no pueden escanear dentro de estas VMs, los actores de amenazas abusan cada vez más de **QEMU** para fines maliciosos. ### Abuso de QEMU en Aumento Esta técnica se ha observado en operaciones pasadas por parte de varios actores de amenazas, incluidos el grupo de ransomware **3AM**, las campañas de minería de criptomonedas **LoudMiner** y los ataques de phishing **CRON#TRAP**. La firma de ciberseguridad **Sophos** documentó recientemente dos campañas en las que los atacantes desplegaron **QEMU** para recopilar credenciales de dominio como parte de su arsenal de ataque. Una campaña, rastreada por **Sophos** como STAC4713, se observó por primera vez en noviembre de 2025 y está vinculada a la operación de ransomware **Payouts King**. La otra, rastreada como STAC3725 y observada en febrero, explota la vulnerabilidad **CitrixBleed 2** (**CVE‑2025‑5777**) en instancias de **NetScaler ADC** y **Gateway**. ### Payouts King y GOLD ENCOUNTER Los investigadores han vinculado a los actores de amenazas detrás de la campaña STAC4713 con el grupo de amenazas **GOLD ENCOUNTER**, conocido por atacar hipervisores y cifradores para entornos **VMware** y **ESXi**. Según **Sophos**, los atacantes crean una tarea programada llamada ‘TPMProfiler’ para lanzar una VM **QEMU** oculta como SYSTEM. Utilizan archivos de disco virtual disfrazados de bases de datos y archivos DLL, y configuran el reenvío de puertos para proporcionar acceso encubierto al host infectado a través de un túnel SSH inverso. La VM ejecuta **Alpine Linux** versión 3.22.0, que incluye herramientas de atacante como AdaptixC2, Chisel, BusyBox y Rclone. **Sophos** informa que el acceso inicial se logró a través de VPNs de **SonicWall** expuestas, mientras que la explotación de la vulnerabilidad de **SolarWinds** Web Help Desk **CVE-2025-26399** se observó en ataques más recientes. Después de la infección, los actores de amenazas utilizan VSS (vssuirun.exe) para crear una copia de sombra, luego usan el comando de impresión sobre SMB para copiar los hives NTDS.dit, SAM y SYSTEM a directorios temporales. Incidentes recientes atribuidos a este actor se basaron en diferentes vectores de acceso inicial. En un ataque en febrero, **GOLD ENCOUNTER** utilizó una VPN SSL de **Cisco** expuesta. En marzo, se hicieron pasar por personal de TI y engañaron a los empleados a través de **Microsoft Teams** para descargar e instalar **QuickAssist**. "En ambos casos, los actores de amenazas utilizaron el binario legítimo ADNotificationManager.exe para cargar lateralmente un payload de **Havoc C2** (vcruntime140_1.dll) y luego aprovecharon Rclone para exfiltrar datos a una ubicación SFTP remota", señaló **Sophos**. Según un informe de **Zscaler**, **Payouts King** probablemente esté conectado con ex afiliados de **BlackBasta**, basándose en su uso de métodos de acceso inicial similares como spam bombing, phishing de **Microsoft Teams** y abuso de **Quick Assist**. El ransomware emplea ofuscación pesada y mecanismos anti-análisis, establece persistencia a través de tareas programadas y termina herramientas de seguridad utilizando llamadas al sistema de bajo nivel. El esquema de cifrado de **Payouts King** utiliza AES-256 (CTR) con RSA-4096, con cifrado intermitente para archivos más grandes. Las notas de rescate dirigen a las víctimas a sitios de filtración en la dark web.  ### Explotación de CitrixBleed 2 La segunda campaña observada por **Sophos** (STAC3725) ha estado activa desde febrero y explota la vulnerabilidad **CitrixBleed 2** para obtener acceso inicial. Después de comprometer los dispositivos **NetScaler**, los atacantes despliegan un archivo ZIP que contiene un ejecutable malicioso que instala un servicio llamado ‘AppMgmt’, crea un nuevo usuario administrador local (CtxAppVCOMService) e instala un cliente **ScreenConnect** para persistencia. El cliente **ScreenConnect** se conecta a un servidor de retransmisión remoto y establece una sesión con privilegios de sistema, luego descarga y extrae un paquete **QEMU** que ejecuta una VM **Alpine Linux** oculta utilizando una imagen de disco custom.qcow2. En lugar de usar un kit de herramientas precompilado, los atacantes instalan y compilan manualmente sus herramientas, incluidas Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute y **Metasploit**, dentro de la VM. La actividad observada incluye la recolección de credenciales, enumeración de nombres de usuario Kerberos, reconocimiento de **Active Directory** y preparación de datos para exfiltración a través de servidores FTP. ### Recomendaciones de Mitigación **Sophos** recomienda que las organizaciones busquen instalaciones no autorizadas de **QEMU**, tareas programadas sospechosas que se ejecutan con privilegios de SYSTEM, reenvío de puertos SSH inusual y túneles SSH salientes en puertos no estándar.