.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Gli analisti di Sophos stanno indagando sull’abuso attivo di QEMU, un “emulatore e virtualizzatore di macchine open source”, da parte di cybercriminali che cercano di nascondere attività dannose all’interno di ambienti virtualizzati. Gli attaccanti sono attratti da QEMU e da strumenti di virtualizzazione più comuni basati su hypervisor come Hyper-V, VirtualBox e VMware perché le attività malevole all’interno di una macchina virtuale (VM) risultano di fatto invisibili ai controlli di sicurezza endpoint e lasciano poche tracce forensi sul sistema host.
L’abuso di QEMU è una tecnica ricorrente utilizzata dagli aggressori da molti anni:
- Novembre 2020: Mandiant ha descritto un criminale che utilizzava QEMU su sistemi Linux per ospitare strumenti e stabilire tunnel SSH inversi verso infrastrutture di comando e controllo (C2).
- Marzo 2024: Kaspersky ha segnalato l’uso di QEMU per il tunneling di rete occulto.
- Maggio 2025: Sophos ha documentato l’uso di QEMU per distribuire la backdoor QDoor e, successivamente, il ransomware 3AM.
Tuttavia, gli analisti Sophos hanno osservato un aumento dei casi di utilizzo di QEMU per eludere le difese, con due campagne distinte identificate dalla fine del 2025: STAC4713 e STAC3725.
STAC4713
Osservata per la prima volta nel novembre 2025, STAC4713 è una campagna a scopo finanziario associata al ransomware PayoutsKing. Diversi incidenti legati a questa campagna prevedono l’uso di QEMU come backdoor SSH inversa nascosta per distribuire strumenti degli attaccanti e raccogliere credenziali di dominio.
Per distribuire QEMU, gli attaccanti iniziano creando un’attività pianificata chiamata “TPMProfiler”. Questa attività avvia una VM QEMU (qemu-system-x86_64.exe) con privilegi SYSTEM tramite un’immagine di disco rigido virtuale con un’estensione di file insolita. In incidenti precedenti, l’immagine del disco si mascherava da vault.db, ma a gennaio 2026 è stata camuffata come una DLL (bisrv.dll).
L’attività pianificata stabilisce anche la persistenza abilitando il port forwarding da porte personalizzate (32567, 22022) verso la porta 22 (SSH). All’avvio, l’immagine del disco utilizza AdaptixC2 o OpenSSH per stabilire un tunnel SSH inverso verso un indirizzo IP remoto. Questa azione crea un canale di accesso remoto nascosto alla VM, aggirando così i sistemi di rilevamento endpoint.
La VM QEMU ospita un’immagine disco Alpine 3.22.0 contenente strumenti degli attaccanti. Il set di strumenti varia tra i diversi incidenti, ma include comunemente tinker2 (AdaptixC2), wg-obfuscator (offuscatore personalizzato per il traffico WireGuard), BusyBox, Chisel e Rclone.
Gli analisti Sophos hanno inoltre osservato le seguenti attività durante l’analisi della campagna:
- Gli aggressori hanno utilizzato l’interfaccia del Volume Shadow Copy Service (vssuirun.exe) per creare snapshot di copie shadow. Hanno inoltre sfruttato il comando print per copiare il database di Active Directory (NTDS.dit) e gli hive SAM e SYSTEM in directory temporanee tramite SMB.
- Gli attaccanti hanno abusato di strumenti nativi come Microsoft Paint, Notepad e Microsoft Edge, oltre al tool gratuito WizTree, per individuare condivisioni di rete e accedere ai file.
- I metodi di accesso iniziale variavano tra le intrusioni. Nei casi più datati sono state sfruttate VPN SonicWall esposte senza autenticazione multi-fattore (MFA), mentre un incidente del gennaio 2026 ha sfruttato una vulnerabilità di SolarWinds Web Help Desk (CVE-2025-26399). A febbraio, Microsoft e Huntress hanno segnalato osservazioni simili relative a questa vulnerabilità che porta alla distribuzione di QEMU.
Continua a leggere l’articolo: https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery