**QEMU** é um emulador de CPU de código aberto e ferramenta de virtualização de sistema que permite aos usuários executar sistemas operacionais como máquinas virtuais (VMs) em um computador host. Como as soluções de segurança no host frequentemente não conseguem escanear dentro dessas VMs, os atores de ameaça estão abusando cada vez mais do **QEMU** para fins maliciosos. ### Abuso de QEMU em Ascensão Essa técnica foi observada em operações passadas por vários atores de ameaça, incluindo o grupo de ransomware **3AM**, campanhas de mineração de criptomoedas **LoudMiner** e ataques de phishing **CRON#TRAP**. A empresa de cibersegurança **Sophos** documentou recentemente duas campanhas onde os atacantes implantaram **QEMU** para coletar credenciais de domínio como parte de seu arsenal de ataque. Uma campanha, rastreada pela **Sophos** como STAC4713, foi observada pela primeira vez em novembro de 2025 e está ligada à operação de ransomware **Payouts King**. A outra, rastreada como STAC3725 e observada em fevereiro, explora a vulnerabilidade **CitrixBleed 2** (**CVE‑2025‑5777**) em instâncias **NetScaler ADC** e **Gateway**. ### Payouts King e GOLD ENCOUNTER Pesquisadores ligaram os atores de ameaça por trás da campanha STAC4713 ao grupo de ameaça **GOLD ENCOUNTER**, conhecido por alvejar hypervisors e encryptors para ambientes **VMware** e **ESXi**. De acordo com a **Sophos**, os atacantes criam uma tarefa agendada chamada ‘TPMProfiler’ para iniciar uma VM **QEMU** oculta como SYSTEM. Eles usam arquivos de disco virtual disfarçados de bancos de dados e arquivos DLL, e configuram o encaminhamento de porta para fornecer acesso discreto ao host infectado via um túnel SSH reverso. A VM executa o **Alpine Linux** versão 3.22.0, que inclui ferramentas de atacante como AdaptixC2, Chisel, BusyBox e Rclone. A **Sophos** relata que o acesso inicial foi obtido via **SonicWall** VPNs expostas, enquanto a exploração da vulnerabilidade do **SolarWinds** Web Help Desk **CVE-2025-26399** foi observada em ataques mais recentes. Pós-infecção, os atores de ameaça usam VSS (vssuirun.exe) para criar uma cópia sombra, então usam o comando print sobre SMB para copiar os hives NTDS.dit, SAM e SYSTEM para diretórios temporários. Incidentes recentes atribuídos a este ator dependeram de diferentes vetores de acesso inicial. Em um ataque em fevereiro, **GOLD ENCOUNTER** usou uma **Cisco** SSL VPN exposta. Em março, eles se passaram por pessoal de TI e enganaram funcionários via **Microsoft Teams** para baixar e instalar **QuickAssist**. "Em ambas as instâncias, os atores de ameaça usaram o binário legítimo ADNotificationManager.exe para carregar lateralmente um payload **Havoc C2** (vcruntime140_1.dll) e então alavancaram o Rclone para exfiltrar dados para um local SFTP remoto", observou a **Sophos**. De acordo com um relatório da **Zscaler**, o **Payouts King** provavelmente está conectado a ex-afiliados do **BlackBasta**, com base em seu uso de métodos de acesso inicial semelhantes, como spam bombing, phishing via **Microsoft Teams** e abuso do **Quick Assist**. O ransomware emprega ofuscação pesada e mecanismos anti-análise, estabelece persistência via tarefas agendadas e encerra ferramentas de segurança usando chamadas de sistema de baixo nível. O esquema de criptografia do **Payouts King** usa AES-256 (CTR) com RSA-4096, com criptografia intermitente para arquivos maiores. As notas de resgate direcionam as vítimas para sites de vazamento na dark web.  ### Exploração do CitrixBleed 2 A segunda campanha observada pela **Sophos** (STAC3725) está ativa desde fevereiro e explora a vulnerabilidade **CitrixBleed 2** para obter acesso inicial. Após comprometer dispositivos **NetScaler**, os atacantes implantam um arquivo ZIP contendo um executável malicioso que instala um serviço chamado ‘AppMgmt’, cria um novo usuário administrador local (CtxAppVCOMService) e instala um cliente **ScreenConnect** para persistência. O cliente **ScreenConnect** se conecta a um servidor de relay remoto e estabelece uma sessão com privilégios de sistema, então descompacta e extrai um pacote **QEMU** que executa uma VM **Alpine Linux** oculta usando uma imagem de disco custom.qcow2. Em vez de usar um kit de ferramentas pré-construído, os atacantes instalam e compilam manualmente suas ferramentas, incluindo Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e **Metasploit**, dentro da VM. A atividade observada inclui coleta de credenciais, enumeração de nomes de usuário Kerberos, reconhecimento do **Active Directory** e preparação de dados para exfiltração via servidores FTP. ### Recomendações de Mitigação A **Sophos** recomenda que as organizações procurem por instalações não autorizadas de **QEMU**, tarefas agendadas suspeitas executando com privilégios SYSTEM, encaminhamento de porta SSH incomum e túneis SSH de saída em portas não padrão.