**QEMU** は、オープンソースのCPUエミュレータおよびシステム仮想化ツールであり、ユーザーはホストコンピュータ上で仮想マシン（VM）としてオペレーティングシステムを実行できます。ホスト上のセキュリティソリューションはこれらのVM内部をスキャンできないことが多いため、脅威アクターは悪意のある目的で **QEMU** をますます悪用しています。 ### QEMUの悪用増加 この技術は、**3AM** ランサムウェアグループ、**LoudMiner** クリプトマイニングキャンペーン、**CRON#TRAP** フィッシング攻撃など、過去の様々な脅威アクターによる運用で観察されています。サイバーセキュリティ企業 **Sophos** は最近、攻撃者がドメイン認証情報を収集するために **QEMU** を展開した2つのキャンペーンを文書化しました。 **Sophos** がSTAC4713として追跡している1つのキャンペーンは、2025年11月に最初に観察され、**Payouts King** ランサムウェア運用に関連しています。もう1つはSTAC3725として追跡され、2月に観察されており、**NetScaler ADC** および **Gateway** インスタンスにおける **CitrixBleed 2** (**CVE‑2025‑5777**) の脆弱性を悪用しています。 ### Payouts King と GOLD ENCOUNTER 研究者たちは、STAC4713キャンペーンの背後にある脅威アクターを、**VMware** および **ESXi** 環境向けのハイパーバイザーとエンクリプタを標的とすることで知られる **GOLD ENCOUNTER** 脅威グループに関連付けています。**Sophos** によると、攻撃者は「TPMProfiler」という名前のスケジュールタスクを作成し、SYSTEMとして隠蔽された **QEMU** VMを起動します。 彼らはデータベースやDLLファイルとして偽装された仮想ディスクファイルを使用し、リバースSSHトンネルを介して感染したホストへの秘密裏のアクセスを提供するためにポートフォワーディングを設定します。VMは **Alpine Linux** バージョン3.22.0を実行しており、これにはAdaptixC2、Chisel、BusyBox、Rcloneなどの攻撃者ツールが含まれています。 **Sophos** は、初期アクセスは露出した **SonicWall** VPNを介して達成されたと報告しており、**SolarWinds** Web Help Deskの脆弱性 **CVE-2025-26399** の悪用は、より最近の攻撃で観察されました。感染後、脅威アクターはVSS (vssuirun.exe) を使用してシャドウコピーを作成し、次にSMB経由でprintコマンドを使用してNTDS.dit、SAM、およびSYSTEMハイブを一時ディレクトリにコピーします。 このアクターに起因する最近のインシデントは、異なる初期アクセスベクトルに依存していました。2月の1つの攻撃では、**GOLD ENCOUNTER** は露出した **Cisco** SSL VPNを使用しました。3月には、ITスタッフを装い、**Microsoft Teams** を介して従業員を騙して**QuickAssist**をダウンロードおよびインストールさせました。 「両方のケースで、脅威アクターは正規のADNotificationManager.exeバイナリを使用して **Havoc C2** ペイロード (vcruntime140_1.dll) をサイドロードし、その後Rcloneを利用してデータをリモートSFTP場所に流出させました」と**Sophos**は述べています。 **Zscaler** のレポートによると、**Payouts King** は、スパムボム、**Microsoft Teams** フィッシング、**Quick Assist** の悪用などの類似の初期アクセス方法の使用に基づき、元 **BlackBasta** アフィリエイトと関連している可能性が高いです。 このランサムウェアは、重度の難読化とアンチ分析メカニズムを採用し、スケジュールタスクを介して永続性を確立し、低レベルのシステムコールを使用してセキュリティツールを終了させます。**Payouts King** の暗号化スキームは、AES-256 (CTR) と RSA-4096 を使用し、大きなファイルに対しては断続的な暗号化を行います。身代金メモは、被害者をダークウェブのリークサイトに誘導します。  ### CitrixBleed 2 の悪用 **Sophos** が観察した2番目のキャンペーン (STAC3725) は、2月以降活動しており、**CitrixBleed 2** の脆弱性を悪用して初期アクセスを取得しています。**NetScaler** デバイスを侵害した後、攻撃者は悪意のある実行可能ファイルを含むZIPアーカイブを展開し、「AppMgmt」という名前のサービスをインストールし、新しいローカル管理者ユーザー (CtxAppVCOMService) を作成し、永続性のために**ScreenConnect**クライアントをインストールします。 **ScreenConnect** クライアントはリモートリレーサーバーに接続し、システム権限でセッションを確立した後、カスタム.qcow2ディスクイメージを使用して隠蔽された **Alpine Linux** VMを実行する **QEMU** パッケージをドロップおよび展開します。事前に構築されたツールキットを使用する代わりに、攻撃者はVM内でImpacket、KrbRelayx、Coercer、BloodHound.py、NetExec、Kerbrute、および **Metasploit** を含むツールを手動でインストールおよびコンパイルします。 観察された活動には、認証情報収集、Kerberosユーザー名列挙、**Active Directory**偵察、およびFTPサーバーを介したデータ流出のためのステージングが含まれます。 ### 緩和策の推奨事項 **Sophos** は、組織に対し、不正な **QEMU** のインストール、SYSTEM権限で実行される疑わしいスケジュールタスク、異常なSSHポートフォワーディング、および非標準ポートでのアウトバウンドSSHトンネルを探すことを推奨しています。