**QEMU** est un émulateur de CPU et un outil de virtualisation système open-source qui permet aux utilisateurs d'exécuter des systèmes d'exploitation sous forme de machines virtuelles (VM) sur un ordinateur hôte. Étant donné que les solutions de sécurité sur l'hôte ne peuvent souvent pas scanner l'intérieur de ces VM, les acteurs de la menace abusent de plus en plus de **QEMU** à des fins malveillantes. ### L'abus de QEMU en hausse Cette technique a été observée lors d'opérations passées par divers acteurs de la menace, notamment le groupe de ransomware **3AM**, les campagnes de minage de cryptomonnaies **LoudMiner** et les attaques de phishing **CRON#TRAP**. La société de cybersécurité **Sophos** a récemment documenté deux campagnes où des attaquants ont déployé **QEMU** pour collecter des identifiants de domaine dans le cadre de leur arsenal d'attaques. Une campagne, suivie par **Sophos** sous le nom de STAC4713, a été observée pour la première fois en novembre 2025 et est liée à l'opération de ransomware **Payouts King**. L'autre, suivie sous le nom de STAC3725 et observée en février, exploite la vulnérabilité **CitrixBleed 2** (**CVE‑2025‑5777**) dans les instances **NetScaler ADC** et **Gateway**. ### Payouts King et GOLD ENCOUNTER Les chercheurs ont lié les acteurs de la menace derrière la campagne STAC4713 au groupe de menace **GOLD ENCOUNTER**, connu pour cibler les hyperviseurs et les encryptors pour les environnements **VMware** et **ESXi**. Selon **Sophos**, les attaquants créent une tâche planifiée nommée ‘TPMProfiler’ pour lancer une VM **QEMU** cachée en tant que SYSTEM. Ils utilisent des fichiers de disque virtuel déguisés en bases de données et en fichiers DLL, et configurent le transfert de port pour fournir un accès discret à l'hôte infecté via un tunnel SSH inversé. La VM exécute **Alpine Linux** version 3.22.0, qui inclut des outils d'attaquant tels qu'AdaptixC2, Chisel, BusyBox et Rclone. **Sophos** rapporte que l'accès initial a été obtenu via des VPN **SonicWall** exposés, tandis que l'exploitation de la vulnérabilité **SolarWinds** Web Help Desk **CVE-2025-26399** a été observée dans des attaques plus récentes. Après l'infection, les acteurs de la menace utilisent VSS (vssuirun.exe) pour créer une copie fantôme, puis utilisent la commande d'impression sur SMB pour copier les ruches NTDS.dit, SAM et SYSTEM dans des répertoires temporaires. Des incidents récents attribués à cet acteur se sont appuyés sur différents vecteurs d'accès initiaux. Dans une attaque en février, **GOLD ENCOUNTER** a utilisé un VPN **Cisco** SSL exposé. En mars, ils ont usurpé l'identité du personnel informatique et ont trompé des employés via **Microsoft Teams** pour télécharger et installer **QuickAssist**. « Dans les deux cas, les acteurs de la menace ont utilisé le binaire légitime ADNotificationManager.exe pour charger en side-channel un payload **Havoc C2** (vcruntime140_1.dll) et ont ensuite utilisé Rclone pour exfiltrer des données vers un emplacement SFTP distant », a noté **Sophos**. Selon un rapport de **Zscaler**, **Payouts King** est probablement lié à d'anciens affiliés de **BlackBasta**, compte tenu de son utilisation de méthodes d'accès initiales similaires telles que le spam bombing, le phishing via **Microsoft Teams** et l'abus de **Quick Assist**. Le ransomware utilise une obfuscation intensive et des mécanismes anti-analyse, établit la persistance via des tâches planifiées et termine les outils de sécurité à l'aide d'appels système de bas niveau. Le schéma de chiffrement de **Payouts King** utilise AES-256 (CTR) avec RSA-4096, avec un chiffrement intermittent pour les fichiers plus volumineux. Les notes de rançon dirigent les victimes vers des sites de fuite sur le dark web.  ### Exploitation de CitrixBleed 2 La deuxième campagne observée par **Sophos** (STAC3725) est active depuis février et exploite la vulnérabilité **CitrixBleed 2** pour obtenir un accès initial. Après avoir compromis les appareils **NetScaler**, les attaquants déploient une archive ZIP contenant un exécutable malveillant qui installe un service nommé ‘AppMgmt’, crée un nouvel utilisateur administrateur local (CtxAppVCOMService) et installe un client **ScreenConnect** pour la persistance. Le client **ScreenConnect** se connecte à un serveur relais distant et établit une session avec des privilèges système, puis dépose et extrait un package **QEMU** qui exécute une VM **Alpine Linux** cachée à l'aide d'une image disque custom.qcow2. Au lieu d'utiliser une boîte à outils pré-construite, les attaquants installent et compilent manuellement leurs outils, y compris Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute et **Metasploit**, à l'intérieur de la VM. L'activité observée comprend la collecte d'identifiants, l'énumération de noms d'utilisateurs Kerberos, la reconnaissance **Active Directory** et la mise en scène de données pour exfiltration via des serveurs FTP. ### Recommandations de mitigation **Sophos** recommande aux organisations de rechercher les installations **QEMU** non autorisées, les tâches planifiées suspectes s'exécutant avec des privilèges SYSTEM, le transfert de port SSH inhabituel et les tunnels SSH sortants sur des ports non standard.