Uso fraudulento de QEMU para eludir la detección y facilitar la distribución de ransomware

Los analistas de Sophos investigan el uso malicioso que actores maliciosos hacen de QEMU, un «emulador y virtualizador de código abierto», para ocultar su actividad maliciosa dentro de entornos virtualizados. A los atacantes les atrae QEMU y otras herramientas de virtualización basadas en hipervisores más comunes, como Hyper-V, VirtualBox y VMware, porque la actividad maliciosa dentro de una máquina virtual (VM) es prácticamente invisible para los controles de seguridad de los endpoints y deja pocas pruebas forenses en el propio host.

Los actores maliciosos llevan muchos años utilizando fraudulentamente QEMU como técnica recurrente:

• Noviembre de 2020: Mandiant describió a un actor malicioso que utilizaba QEMU en sistemas Linux para alojar herramientas y establecer túneles SSH inversos hacia la infraestructura de comando y control (C2).
• Marzo de 2024: Kaspersky informó que los actores maliciosos lo utilizaban para crear túneles de red encubiertos.
• Mayo de 2025: Sophos documentó que los atacantes lo usaban para desplegar la puerta trasera QDoor y, en última instancia, distribuir el ransomware 3AM.

Sin embargo, los analistas de Sophos han observado un repunte en los casos en los que los atacantes utilizan QEMU para evadir las defensas, con dos campañas distintas identificadas desde finales de 2025: STAC4713 y STAC3725.

STAC4713

Observamos por primera vez STAC4713 en noviembre de 2025; se trata de una campaña con fines económicos asociada al ransomware PayoutsKing. En varios incidentes de esta campaña, los atacantes usaron QEMU como puerta trasera SSH inversa encubierta para distribuir herramientas de ataque y recopilar credenciales de dominio.

Para desplegar QEMU, los atacantes empiezan creando una tarea programada llamada «TPMProfiler». Esta tarea inicia una máquina virtual QEMU (qemu-system-x86_64.exe) bajo la cuenta SYSTEM a través de una imagen de disco duro virtual que tiene una extensión de archivo poco común. En incidentes anteriores, la imagen de disco se hacía pasar por vault.db, pero en enero de 2026 pasó a disfrazarse como un archivo DLL (bisrv.dll).

La tarea programada también establece persistencia al habilitar el reenvío de puertos desde puertos personalizados (32567, 22022) al puerto 22 (SSH). Al arrancar, la imagen de disco utiliza AdaptixC2 u OpenSSH para establecer un túnel SSH inverso hacia una dirección IP remota. Esta acción crea un canal de acceso remoto encubierto a la máquina virtual oculta, eludiendo así las detecciones de los endpoints.

La máquina virtual QEMU aloja una imagen de disco Alpine 3.22.0 que contiene herramientas de los atacantes. Las herramientas varían según el incidente, pero suelen incluir tinker2 (AdaptixC2), wg-obfuscator (un ofuscador de tráfico WireGuard personalizado), BusyBox, Chisel y Rclone.

Los analistas de Sophos también observaron la siguiente actividad al investigar esta campaña:

• Los autores de la amenaza utilizaron la interfaz de usuario del Servicio de instantáneas de volumen (VSS) (vssuirun.exe) para crear una instantánea de volumen. También aprovecharon el comando print para copiar la base de datos de Active Directory (NTDS.dit) y los subárboles SAM y SYSTEM a directorios temporales a través de SMB.
• Los autores de la amenaza hicieron un uso indebido de herramientas nativas como Microsoft Paint, el Bloc de notas y Microsoft Edge, así como de la herramienta de terceros de libre acceso WizTree, para detectar recursos compartidos de red y acceder a archivos.
• Los métodos de acceso inicial variaron según las intrusiones. Los incidentes más antiguos aprovecharon VPN de SonicWall expuestas que no tenían habilitada la autenticación multifactorial (MFA), mientras que un incidente de enero de 2026 explotó una vulnerabilidad de SolarWinds Web Help Desk (CVE-2025-26399). En febrero, Microsoft y Huntress informaron de observaciones similares de esta vulnerabilidad que condujeron a la implementación de QEMU.

Vínculos con el ransomware PayoutsKing

Es muy probable que la campaña STAC4713 esté relacionada con el robo de datos y el despliegue del ransomware PayoutsKing. Los investigadores de Counter Threat Unit™ (CTU) atribuyen el ransomware PayoutsKing y la operación de extorsión, que surgió a mediados de 2025, al grupo de amenazas GOLD ENCOUNTER. El análisis de Sophos indica que el grupo se centra en hipervisores y cuenta con cifradores dirigidos tanto a entornos VMware como ESXi. Los operadores de PayoutsKing han declarado explícitamente que no operan bajo un modelo de ransomware como servicio (RaaS) ni trabajan con afiliados, lo que sugiere que las diferencias tácticas entre estos incidentes observados se deben a decisiones deliberadas de los atacantes y no a actores de amenazas distintos.

A partir de febrero de 2026, los analistas de Sophos identificaron un cambio notable en las tácticas de GOLD ENCOUNTER, incluyendo diferentes vectores de acceso inicial y el abandono de QEMU para el acceso remoto encubierto. En un incidente de febrero de 2026, los actores maliciosos obtuvieron acceso a través de una VPN SSL de Cisco expuesta; en un caso de marzo de 2026, se dirigieron a los empleados mediante spam por correo electrónico y se hicieron pasar por el soporte técnico a través de Microsoft Teams para engañar a los usuarios y que descargaran QuickAssist. En ambos casos, los atacantes utilizaron el binario legítimo ADNotificationManager.exe para instalar lateralmente una carga útil C2 de Havoc (vcruntime140_1.dll) y luego aprovecharon Rclone para extraer datos a una ubicación SFTP remota.

STAC3725

La campaña STAC3725 se detectó por primera vez en febrero de 2026. Aprovecha la vulnerabilidad CitrixBleed2 (CVE-2025-5777) para obtener acceso y, a continuación, instala un cliente ScreenConnect malicioso para mantener la persistencia. Los atacantes despliegan una máquina virtual QEMU para instalar herramientas adicionales destinadas a realizar la enumeración y el robo de credenciales.

Tras el acceso inicial al entorno de la víctima a través de NetScaler, los atacantes colocan un archivo ZIP (an.zip). Un ejecutable dentro del archivo (an.exe) crea e inicia un servicio llamado AppMgmt, que añade un nuevo usuario administrador local (CtxAppVCOMService) e instala el cliente ScreenConnect mediante un archivo .msi que probablemente también venía incluido en el archivo.

El ejecutable del cliente ScreenConnect (ScreenConnect.ClientService.exe) se conecta a su servidor de retransmisión (vtps.us) y establece una sesión con privilegios de sistema. A continuación, crea un archivo ZIP en el directorio Documentos de la víctima (por ejemplo, C:\Users\<nombre de usuario>\Documents\ScreenConnect\Files\qemu_custom.zip), que 7-Zip extrae. El archivo qemu-system-x86_64.exe extraído de este archivo utiliza una imagen de disco virtual llamada custom.qcow2 para arrancar y ejecutar una máquina virtual Alpine Linux en el host.

En lugar de implementar un kit de herramientas precompilado, los atacantes instalan y compilan manualmente un conjunto completo de herramientas de ataque dentro de la máquina virtual, incluyendo Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute, Metasploit y bibliotecas de apoyo para Python, Rust, Ruby y C++. Entre las actividades maliciosas observadas se incluyen la descarga de credenciales, la enumeración de nombres de usuario de Kerberos mediante Kerbrute, el reconocimiento de Active Directory mediante BloodHound y la ejecución de servidores FTP mediante pyftpdlib para la preparación de cargas útiles o la exfiltración de datos. Además de la actividad de QEMU, el cliente ScreenConnect añade una clave de registro WDigest para almacenar credenciales, instala FTK Imager para eliminar todas las exclusiones de Microsoft Defender, ejecuta comandos de descubrimiento e instala un controlador de kernel vulnerable (K7RKScan_1516.sys).

La actividad posterior varió según las intrusiones, lo que sugiere que los intermediarios de acceso inicial comprometieron originalmente los entornos de las víctimas y luego vendieron el acceso a otros actores maliciosos. En un incidente, los actores maliciosos mantuvieron el acceso al entorno mediante la implementación de las herramientas Total Software Deployment y Total Network Inventory, así como de otro cliente ScreenConnect no autorizado. En otro caso, los actores maliciosos utilizaron NetBird para establecer una conectividad cifrada punto a punto, intentaron extraer las cookies de sesión del navegador mediante cookie_exporter.exe y ejecutaron un script de PowerShell para desactivar Microsoft Defender.

Recomendaciones, protecciones e indicadores

El uso indebido de QEMU representa una tendencia de evasión en auge en la que los actores maliciosos aprovechan el software de virtualización legítimo para ocultar acciones maliciosas a los agentes de protección de endpoints y a los registros de auditoría. Una máquina virtual oculta con un kit de herramientas de ataque precargado o compilado puede permitir a un actor malicioso tener acceso a largo plazo a una red, lo que le da la capacidad de desplegar malware, recopilar credenciales y moverse lateralmente sin dejar rastros en el propio host.

Las organizaciones deben auditar sus entornos en busca de instalaciones no autorizadas de QEMU, tareas programadas inesperadas (especialmente aquellas que se ejecutan bajo una cuenta SYSTEM) y reglas de reenvío de puertos inusuales dirigidas al puerto 22. Los defensores de la red deben supervisar los túneles SSH salientes que se originan en puertos no estándar y deben marcar las imágenes de discos virtuales con extensiones de archivo poco comunes (por ejemplo, .db, .dll, .qcow2).

La tabla 1 enumera las protecciones de Sophos asociadas a esta amenaza.

Tabla 1: Protecciones de Sophos asociadas a esta amenaza

Los indicadores de amenaza de la Tabla 2 pueden detectar actividad relacionada con esta amenaza. Ten en cuenta que pueden reasignar las direcciones IP. El dominio y las direcciones IP pueden contener contenido malicioso, así que valora los riesgos antes de abrirlos en un navegador.

Tabla 2: Indicadores de esta amenaza