.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Les analystes Sophos investiguent l'utilisation abusive de QEMU, un « outil d’émulation et de virtualisation de machines open source », par des cybercriminels cherchant à dissimuler des activités malveillantes au sein d'environnements virtualisés. Les attaquants sont attirés par QEMU et les outils de virtualisation basés sur un hyperviseur plus courants comme Hyper-V, VirtualBox et VMware, car l'activité malveillante au sein d'une machine virtuelle (VM) est essentiellement invisible pour les contrôles de sécurité endpoint et ne laisse que peu de preuves forensiques sur l'hôte lui-même.
L’utilisation abusive de QEMU est une technique récurrente employée par les acteurs malveillants depuis de nombreuses années :
- Novembre 2020 : Mandiant a décrit un acteur malveillant utilisant QEMU sur des systèmes Linux pour héberger des outils et établir des tunnels SSH inversés vers l'infrastructure de command & contol (C2).
- Mars 2024 : Kaspersky a signalé que des acteurs malveillants l'utilisaient pour déployer des tunnels réseau dissimulés.
- Mai 2025 : Sophos a documenté des attaques visant à déployer la backdoor QDoor et, finalement, à propager le ransomware 3AM.
Cependant, les analystes de Sophos ont observé une augmentation des cas impliquant QEMU pour contourner les défenses, avec deux campagnes distinctes identifiées depuis fin 2025 : STAC4713 et STAC3725.
STAC4713
Observée pour la première fois en novembre 2025, STAC4713 est une campagne motivée financièrement associée au ransomware PayoutsKing. Plusieurs incidents dans cette campagne ont impliqué QEMU comme backdoor SSH inversée dissimulée pour fournir des outils d'attaque et récupérer des identifiants de domaine.
Pour déployer QEMU, les attaquants commencent par créer une tâche planifiée nommée « TPMProfiler ». Cette tâche lance une machine virtuelle QEMU (qemu-system-x86_64.exe) sous le compte SYSTEM via une image de disque dur virtuel ayant une extension de fichier inhabituelle. Lors d'incidents précédents, l'image disque se faisait passer pour vault.db, mais elle a été changée pour se déguiser en DLL (bisrv.dll) en janvier 2026.
La tâche planifiée établit également la persistance en activant le transfert de port à partir de ports personnalisés (32567, 22022) vers le port 22 (SSH). Au démarrage, l'image disque utilise AdaptixC2 ou OpenSSH pour établir un tunnel SSH inversé vers une adresse IP distante. Cette action crée un canal d'accès distant dissimulé vers la machine virtuelle cachée, contournant ainsi les détections endpoint.
La machine virtuelle QEMU héberge une image disque Alpine 3.22.0 contenant des outils d'attaque. Les outils diffèrent selon les incidents, mais comprennent généralement tinker2 (AdaptixC2), wg-obfuscator (obfuscateur de trafic WireGuard personnalisé), BusyBox, Chisel et Rclone.
Les analystes de Sophos ont également observé l'activité suivante lors de l’investigation portant sur cette campagne :
- Les acteurs malveillants ont utilisé l'interface utilisateur du VSS (Volume Shadow Copy Service) (vssuirun.exe) pour créer une capture VSS. Ils ont également utilisé la commande print pour copier la base de données Active Directory (NTDS.dit) et les hives SAM et SYSTEM dans des répertoires temporaires via SMB.
- Les acteurs malveillants ont abusé d'outils natifs tels que Microsoft Paint, Notepad et Microsoft Edge, ainsi que de l'outil tiers gratuit WizTree, pour la découverte des partages réseau et l'accès aux fichiers.
- Les méthodes d'accès initiales variaient selon les intrusions. Les incidents plus anciens exploitaient des VPN SonicWall exposés qui n'avaient pas l'authentification multifacteur (MFA) activée, tandis qu'un incident de janvier 2026 exploitait une vulnérabilité de SolarWinds Web Help Desk (CVE-2025-26399). En février, Microsoft et Huntress ont signalé des observations similaires concernant cette vulnérabilité, ce qui a conduit au déploiement de QEMU.
Liens vers le ransomware PayoutsKing
Il est fort probable que la campagne STAC4713 soit liée au vol de données et au déploiement du ransomware PayoutsKing. Les chercheurs de la CTU (Counter Threat Unit™) attribuent l'opération de ransomware et d'extorsion PayoutsKing, apparue au milieu de l'année 2025, au groupe malveillant GOLD ENCOUNTER. L'analyse de Sophos indique que le groupe se concentre sur les hyperviseurs et possède des outils de chiffrement ciblant les environnements VMware et ESXi. Les opérateurs de PayoutsKing ont explicitement déclaré qu'ils n'opéraient pas dans le cadre d'un modèle RaaS (Ransomware-as-a-Service) ni avec des affiliés, suggérant ainsi que les différences tactiques observées dans ces incidents sont dues à des choix délibérés des attaquants plutôt qu'à des acteurs malveillants distincts.
À partir de février 2026, les analystes de Sophos ont identifié un changement notable dans les tactiques de GOLD ENCOUNTER, notamment des vecteurs d'accès initiaux différents et l'abandon de QEMU au profit d'un accès distant dissimulé. Lors d'un incident survenu en février 2026, les acteurs malveillants ont obtenu un accès via un VPN SSL Cisco exposé ; lors d'un autre incident survenu en mars 2026, ils ont ciblé des employés par le biais de spams par email et se sont fait passer pour le support IT sur Microsoft Teams afin d'inciter les utilisateurs à télécharger QuickAssist. Dans les deux cas, les acteurs malveillants ont utilisé le binaire légitime ADNotificationManager.exe pour effectuer un sideloading de la charge virale Havoc C2 (vcruntime140_1.dll) puis ont utilisé Rclone pour exfiltrer des données vers un emplacement SFTP distant.
STAC3725
Observée pour la première fois en février 2026, la campagne STAC3725 exploite la vulnérabilité CitrixBleed2 (CVE-2025-5777) pour obtenir un accès puis installe un client ScreenConnect malveillant pour maintenir sa persistance. Les acteurs malveillants déploient une machine virtuelle QEMU pour installer des outils supplémentaires permettant de procéder à l'énumération et au vol d'identifiants.
Après un premier accès à l’environnement de la victime via NetScaler, les acteurs malveillants mettent en place une archive ZIP (an.zip). Un fichier exécutable dans l'archive (an.exe) crée et démarre un service nommé AppMgmt, qui ajoute un nouvel utilisateur administrateur local (CtxAppVCOMService) et installe le client ScreenConnect via un fichier .msi qui était également probablement inclus dans l'archive.
Le client exécutable ScreenConnect (ScreenConnect.ClientService.exe) contacte son serveur relais (vtps.us) et établit une session avec les privilèges système. Il crée ensuite une archive ZIP dans le répertoire Documents de la victime (par exemple, C:\Users\<username\Documents\ScreenConnect\Files\qemu_custom.zip), qui est extraite via 7-Zip. Le fichier qemu-system-x86_64.exe extrait de cette archive utilise une image disque virtuelle nommée custom.qcow2 pour démarrer et exécuter une machine virtuelle Alpine Linux sur l'hôte.
Plutôt que de déployer un toolkit préconstruit, les attaquants installent et compilent manuellement leur suite d'attaque complète au sein de la VM, notamment Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute, Metasploit et les bibliothèques de support pour Python, Rust, Ruby et C++. Les activités malveillantes observées comprenaient le téléchargement d'identifiants, l'énumération des noms d'utilisateur Kerberos via Kerbrute, la reconnaissance d'Active Directory via BloodHound et l'exécution de serveurs FTP via pyftpdlib pour le déploiement de charges virales ou l'exfiltration de données. En plus de l'activité QEMU, le client ScreenConnect ajoute une clé de registre WDigest pour stocker les identifiants, installe FTK Imager afin de supprimer toutes les exclusions de Microsoft Defender, exécute des commandes de détection et installe un pilote de noyau vulnérable (K7RKScan_1516.sys).
Les activités ultérieures différaient selon les intrusions, suggérant ainsi que les IAB (Initial Access Brokers) ont d'abord compromis les environnements des victimes, puis vendu l'accès à d'autres acteurs malveillants. Dans un incident, les acteurs malveillants ont maintenu leur accès à l'environnement en déployant les outils Total Software Deployment et Total Network Inventory, ainsi qu'un autre client ScreenConnect malveillant. Dans un autre cas, les acteurs malveillants ont utilisé NetBird pour établir une connectivité peer-to-peer chiffrée, ont tenté d'extraire les cookies de session du navigateur via cookie_exporter.exe et ont exécuté un script PowerShell pour désactiver Microsoft Defender.
Recommandations, protections et indicateurs
L’utilisation abusive de QEMU représente une tendance croissante en matière d’évasion, où les acteurs malveillants exploitent des logiciels de virtualisation légitimes pour dissimuler des actions malveillantes aux agents de protection endpoint et aux logs d’audit. Une machine virtuelle cachée dotée d'un toolkit d'attaque préchargé ou compilé peut permettre à un acteur malveillant d'avoir un accès à long terme à un réseau, lui offrant ainsi la possibilité de déployer des malwares, de collecter des identifiants et de se déplacer latéralement sans laisser de traces sur l'hôte lui-même.
Les organisations doivent auditer leurs environnements pour détecter les installations QEMU non autorisées, les tâches planifiées inattendues (en particulier celles exécutées sous un compte SYSTEM) et les règles de redirection de port inhabituelles ciblant le port 22. Les responsables de la sécurité du réseau doivent surveiller les tunnels SSH sortants provenant de ports non standard et doivent signaler les images de disque virtuel avec des extensions de fichier inhabituelles (par exemple, .db, .dll, .qcow2).
Le tableau 1 répertorie les protections Sophos associées à cette menace.
| Nom | Description |
| ATK/AdaptixC2-F | Detects AdaptixC2 |
| Collection_2c | Détecte la commande print utilisée pour extraire les identifiants. |
| win-eva-prc-susp-qemu-1 | Détecte l'utilisation de QEMU avec une redirection de port |
| AppC/Qemu-Gen | Détection du contrôle des applications pour QEMU |
| WIN-DET-CREDS-NTDS-DUMP-FILE-1[2] | Détecte un dump NTDS.dit |
Tableau 1 : Protections Sophos associées à cette menace
Les indicateurs de menace du tableau 2 peuvent être utilisés pour détecter les activités liées à cette dernière. Notez que les adresses IP peuvent être réallouées. Les domaines et l'adresse IP peuvent contenir du contenu malveillant ; tenez compte des risques avant de les ouvrir dans un navigateur.
| Indicateur | Type | Contexte |
| 7ae413b76424508055154ee262c7567705dc1ac00607f5ac2e43d032221b34b3 | Hachage SHA256 | Agent AdaptixC2 associé à STAC4713 |
| 25e4d0eacff44f67a0a9d13970656cf76e5fd78c | Hachage SHA1 | Agent AdaptixC2 associé à STAC4713 |
| f7a11aeaa4f0c748961bbebb2f9e12b6 | Hachage MD5 | Agent AdaptixC2 associé à STAC4713 |
| f3194018d60645e43afabac33ceb4e852f95241b410cd726b1c40e3021589937 | Hachage SHA256 | Agent AdaptixC2 associé à STAC4713 |
| 6c09b0d102361888daa7fa4f191f603a19af47cb | Hachage SHA1 | Agent AdaptixC2 associé à STAC4713 |
| b752ebfc1004f2c717609145e28243f3 | Hachage MD5 | Agent AdaptixC2 associé à STAC4713 |
| c6b848c6a61685724fa9e2b3f6e3a118323ee0c165d1aa8c8a574205a4c4be59 | Hachage SHA256 | Image disque malveillante QEMU contenant des outils d'attaque (vault.db) associés à STAC4713 |
| 66dc383e9e0852523fe50def0851b9268865f779 | Hachage SHA1 | Image disque malveillante QEMU contenant des outils d'attaque (vault.db) associés à STAC4713 |
| a65f0144101d93656c5f9ad445b3993336e1f295a838351aeca6332c0949b463 | Hachage SHA256 | Exécutable QEMU légitime (qemu-system-x86_64.exe) associé aux cartes STAC4713 et STAC3725 |
| 903edad58d54f056bd94c8165cc20e105b054fa8 | Hachage SHA1 | Exécutable QEMU légitime (qemu-system-x86_64.exe) associé aux cartes STAC4713 et STAC3725 |
| b186baf2653c6c874e7b946647b048cc | Hachage MD5 | Exécutable QEMU légitime (qemu-system-x86_64.exe) associé aux cartes STAC4713 et STAC3725 |
| 61c14c01460810f6f5f760daf8edbda82eea908b1a95052f8e0f9c4162c2900c | Hachage SHA256 | Image disque malveillante QEMU contenant des outils d'attaque (bisrv.dll) associés à STAC4713 |
| 3a33b5bceb1eba4cc749534b03dd245f965d8f200aa02392baad78f5021a20ff | Hachage SHA256 | Binaire proxy de trafic WireGuard personnalisé (wg-obfuscator) associé à STAC4713 |
| 8c8e75dc4b4e1f201b56133a00fa9d1d711ccb50 | Hachage SHA1 | Binaire proxy de trafic WireGuard personnalisé (wg-obfuscator) associé à STAC4713 |
| 6f55743091410dad6cdb0b7e474f03e7 | Hachage MD5 | |
| 144[.]208[.]127[.]190 | Adresse IP | Serveur C2 suspecté ; hôte SSH connu dans l’image disque de la machine virtuelle QEMU (bisrv.dll) associée à STAC4713 |
| 74[.]242[.]216[.]76 | Adresse IP | Serveur C2 suspecté ; destination du tunnel SSH inversé établi par le fichier vault.db associé à STAC4713 |
| 194[.]110[.]172[.]152 | Adresse IP | Serveur C2 suspecté ; destination d’un tunnel SSH inversé associé à STAC4713 |
| 98[.]81[.]138[.]214 | Adresse IP | Serveur C2 suspecté ; destination du tunnel SSH inversé établi par le fichier vault.db associé à STAC4713 |
| 158[.]158[.]0[.]165 | Adresse IP | Serveur C2 suspecté ; destination du tunnel SSH inversé établi par le fichier vault.db associé à STAC4713 |
| vtps[.]us | Nom de domaine | Serveur relais ScreenConnect malveillant associé à STAC3725 |
Tableau 2 : Indicateurs pour cette menace
Billet inspiré de QEMU abused to evade detection and enable ransomware delivery, sur le Blog Sophos.