.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
ソフォスのアナリストは現在、仮想化環境内での悪意のある活動を隠蔽しようとする攻撃者による、QEMU (オープンソースのマシンエミュレーター兼仮想化ツール) の悪用について調査を行っています。攻撃者が QEMU や、より一般的なハイパーバイザーベースの仮想化ツール (Hyper-V、VirtualBox、VMware など) を利用する理由は、仮想マシン (VM) 内での悪意のある活動がエンドポイントセキュリティ製品から基本的に検知されず、ホスト自体にフォレンジックの証拠がほとんど残らないためです。
以下のように、QEMU の悪用は長年繰り返されている手法です。
- 2020 年 11 月: Mandiant は、攻撃者が Linux システム上で QEMU を使用してツールをホストし、コマンドアンドコントロール (C2) インフラストラクチャへのリバース SSH トンネルを確立した事例を報告しました。
- 2024 年 3 月: Kaspersky は、攻撃者が秘密のネットワークトンネリングのために QEMU を悪用していることを報告しました。
- 2025 年 5 月: ソフォスは、攻撃者が QEMU を使用して QDoor バックドアを配置し、最終的に 3AM ランサムウェアを配信した事例を報告しました。
その後も防御回避のために QEMU が利用される事例が増加していることをソフォスのアナリストは確認しており、2025 年後半以降、2 つの異なるキャンペーン(STAC4713 と STAC3725) を特定しています。
STAC4713
2025 年 11 月に初めて確認された STAC4713 は、PayoutsKing ランサムウェアに関連する金銭目的の攻撃キャンペーンです。このキャンペーンにおける複数のインシデントでは、攻撃ツールの配信やドメイン認証情報の収集を行うためのリバース SSH バックドアとして QEMU が悪用されていました。
QEMU を展開するため、攻撃者はまず「TPMProfiler」という名前のスケジュールタスクを作成します。このタスクは、珍しいファイル拡張子を持つ仮想ハードディスクイメージを介して、SYSTEM アカウントの権限で QEMU VM (qemu-system-x86_64.exe) を起動します。過去のインシデントでは、このディスクイメージは vault.db を装っていましたが、2026 年 1 月には DLL (bisrv.dll) を偽装するようになりました。
また、このスケジュールされたタスクは、カスタムポート (32567、22022) からポート 22 (SSH) へのポートフォワーディングを有効にすることで、常駐化します。起動時、ディスクイメージは AdaptixC2 または OpenSSH を使用して、リモート IP アドレスへのリバース SSH トンネルを確立します。この動作により、隠された VM への秘密のリモートアクセスチャネルが作成され、エンドポイントでの検知を回避します。
QEMU VM は、攻撃ツールを含む Alpine 3.22.0 ディスクイメージをホストしています。ツールセットはインシデントごとに異なりますが、一般的に tinker2 (AdaptixC2)、wg-obfuscator (カスタムの WireGuard トラフィック難読化ツール)、BusyBox、Chisel、および Rclone が含まれています。
ソフォスのアナリストはこのキャンペーンを調査する際、以下の活動も確認しました。
- 攻撃者は、ボリュームシャドウコピーサービス (VSS) のユーザーインターフェース (vssuirun.exe) を使用して、ボリュームシャドウコピーのスナップショットを作成しました。また、print コマンドを悪用して、Active Directory データベース (NTDS.dit) ならびに SAM ハイブと SYSTEM ハイブを、SMB 経由で一時ディレクトリにコピーしました。
- 攻撃者は、ネットワーク共有の検出やファイルへのアクセスのために、Microsoft Paint、Notepad、Microsoft Edge などのネイティブツールのほか、無料で利用できるサードパーティツール WizTree を悪用しました。
- 初期アクセスの手法は、攻撃ごとに異なっていました。過去のインシデントでは、多要素認証 (MFA) が有効になっていない、セキュリティ対策が不十分な SonicWall VPN が悪用されましたが、2026 年 1 月のインシデントでは、SolarWinds Web Help Deskの脆弱性 (CVE-2025-26399) が悪用されました。2 月には Microsoft と Huntress が、この脆弱性が QEMU の展開につながるという同様の報告をしています。
PayoutsKing ランサムウェアとの関連性
STAC4713 キャンペーンはデータの窃取および PayoutsKing ランサムウェアの展開と関連している可能性が非常に高いです。Counter Threat Unit™ (CTU) の研究チームは、2025 年半ばに登場した PayoutsKing ランサムウェアおよび恐喝行為を、脅威グループ GOLD ENCOUNTER によるものとしています。ソフォスの分析によれば、このグループはハイパーバイザーに焦点を絞り、VMware と ESXi の両環境を標的とする暗号化ツールを保有しています。PayoutsKing のオペレーターは、サービスとしてのランサムウェア (RaaS) モデルでの運用やアフィリエイトとの提携は行わないと明言しており、観測されたインシデントごとの戦術の違いは、脅威グループが異なっていることによるものではなく、攻撃者が意図的に選択しているものであることが示唆されています。
2026 年 2 月以降、ソフォスのアナリストは、初期アクセスの経路の変更や、リモートアクセスに利用していた QEMU の放棄など、GOLD ENCOUNTER の戦術における顕著な変化を確認しました。2026 年 2 月のインシデントでは、攻撃者は公開されていた Cisco SSL VPN を介してアクセス権を取得しました。また、2026 年 3 月のケースでは、従業員にスパムメールを送り付け、Microsoft Teams 上で IT サポートを装ってユーザーを騙し、QuickAssist をダウンロードさせました。いずれの事例においても、攻撃者は正規の ADNotificationManager.exe バイナリを利用して Havoc C2 ペイロード (vcruntime140_1.dll) をサイドローディングし、その後 Rclone を利用してデータをリモートの SFTP ロケーションへ流出させました。
STAC3725
2026 年 2 月に初めて確認された STAC3725 キャンペーンは、CitrixBleed2 の脆弱性 (CVE-2025-7775) を悪用してアクセス権を取得し、その後、常駐化するために悪意のある ScreenConnect クライアントをインストールします。攻撃者は QEMU 仮想マシンを展開し、列挙や認証情報窃取を行うための追加ツールをインストールします。
NetScaler を介して被害者の環境に初期アクセスした攻撃者は、ZIP アーカイブ (an.zip) を配置します。アーカイブ内の実行ファイル (an.exe) は、AppMgmt という名前のサービスを作成して起動します。このサービスは、新しいローカル管理者ユーザー (CtxAppVCOMService) を追加した上で、アーカイブに同梱されていたと思われる .msi ファイルを介して ScreenConnect クライアントをインストールします。
ScreenConnect クライアントの実行ファイル (ScreenConnect.ClientService.exe) は、中継サーバー (vtps.us) に接続し、システム権限でセッションを確立します。その後、被害者の「ドキュメント」ディレクトリに ZIP アーカイブ (例: C:\Users\<ユーザー名>\Documents\ScreenConnect\Files\qemu_custom.zip) を作成し、7-Zip を使用して展開します。このアーカイブから展開された qemu-system-x86_64.exe ファイルは、custom.qcow2 という名前の仮想ディスクイメージを使用して、ホスト上で Alpine Linux VM を起動・実行します。
攻撃者は、あらかじめ構築されたツールキットを展開するのではなく、Impacket、KrbRelayx、Coercer、BloodHound.py、NetExec、Kerbrute、Metasploit、および Python、Rust、Ruby、C++ 用のサポートライブラリを含む、攻撃用スイート一式を VM 内で手動でインストールおよびコンパイルします。確認された悪意のある活動には、認証情報のダウンロード、Kerbrute による Kerberos ユーザー名の列挙、BloodHound による Active Directory の偵察、およびペイロードの配置やデータ窃取のために pyftpdlib を使用して FTP サーバーを実行することが含まれていました。ScreenConnect クライアントは QEMU の活動に加え、認証情報の保存のために WDigest レジストリキーを追加し、すべての Microsoft Defender の除外設定を削除するために FTK Imager をインストールし、探索コマンドを実行し、脆弱性のあるカーネルドライバー (K7RKScan_1516.sys) をインストールします。
その後の活動は侵入事例ごとに異なっており、初期アクセスブローカーが当初被害者の環境を侵害し、その後、そのアクセス権を他の攻撃者に売却したことが伺えます。あるインシデントでは、攻撃者は Total Software Deployment ツールや Total Network Inventory ツール、さらに別の不正な ScreenConnect クライアントを展開することで、環境へのアクセスを保持しました。別のケースでは、攻撃者は NetBird を使用して暗号化されたピアツーピア接続を確立し、cookie_exporter.exe を介してブラウザのセッション Cookie の抽出を試み、PowerShell スクリプトを実行して Microsoft Defender を無効化しました。
推奨事項、保護対策、および指標
QEMU の悪用は、攻撃者が正規の仮想化ソフトウェアを利用して、エンドポイント保護エージェントや監査ログから悪意のある動作を隠蔽するという、拡大しつつある回避の手口です。あらかじめ攻撃ツールキットがロードあるいはコンパイルされている隠し VM を利用することで、攻撃者はネットワークへの長期的なアクセスが可能となるため、ホスト自体に痕跡を残すことなく、マルウェアの展開、認証情報の収集、およびラテラルムーブメントを実行できるようになります。
防御側の組織は、不正な QEMU のインストール、予期しないスケジュールタスク (特に SYSTEM アカウントで実行されているもの)、およびポート 22 を標的とした異常なポート転送ルールがないか、自社環境の監査を行う必要があります。ネットワーク管理者は、非標準ポートから発信されるアウトバウンド SSH トンネルを監視し、一般的ではないファイル拡張子 (例:.db、.dll、.qcow2) を持つ仮想ディスクイメージをフラグ付けする必要があります。
表 1 に、この脅威に関連するソフォスの保護機能の一覧を示します。
| 名前 | 説明 |
| ATK/AdaptixC2-F | AdaptixC2 を検知する |
| Collection_2c | 認証情報のダンプに使用される print コマンドを検知する |
| win-eva-prc-susp-qemu-1 | ポート転送での QEMU の使用を検知する |
| AppC/Qemu-Gen | QEMU に対するアプリケーションコントロールを検知する |
| WIN-DET-CREDS-NTDS-DUMP-FILE-1[2] | NTDS.dit のダンプを検知する |
表 1: この脅威に関連するソフォスの保護機能
表 2 に示す脅威の指標は、この脅威に関連するアクティビティを検知するために使用できます。なお、IP アドレスは再割り当てされる可能性がありますので、注意してください。また、これらのドメインと IP アドレスには悪意のあるコンテンツが含まれている可能性があるため、ブラウザで開く際はリスクを十分に考慮してください。
| 指標 | タイプ | コンテキスト |
| 7ae413b76424508055154ee262c7567705dc1ac00607f5ac2e43d032221b34b3 | SHA256 ハッシュ | STAC4713 に関連する AdaptixC2 エージェント |
| 25e4d0eacff44f67a0a9d13970656cf76e5fd78c | SHA1 ハッシュ | STAC4713 に関連する AdaptixC2 エージェント |
| f7a11aeaa4f0c748961bbebb2f9e12b6 | MD5 ハッシュ | STAC4713 に関連する AdaptixC2 エージェント |
| f3194018d60645e43afabac33ceb4e852f95241b410cd726b1c40e3021589937 | SHA256 ハッシュ | STAC4713 に関連する AdaptixC2 エージェント |
| 6c09b0d102361888daa7fa4f191f603a19af47cb | SHA1 ハッシュ | STAC4713 に関連する AdaptixC2 エージェント |
| b752ebfc1004f2c717609145e28243f3 | MD5 ハッシュ | STAC4713 に関連する AdaptixC2 エージェント |
| c6b848c6a61685724fa9e2b3f6e3a118323ee0c165d1aa8c8a574205a4c4be59 | SHA256 ハッシュ | STAC4713 に関連する、攻撃ツールが含まれる QEMU の悪意のあるディスクイメージ (vault.db) |
| 66dc383e9e0852523fe50def0851b9268865f779 | SHA1 ハッシュ | STAC4713 に関連する、攻撃ツールが含まれる QEMU の悪意のあるディスクイメージ (vault.db) |
| a65f0144101d93656c5f9ad445b3993336e1f295a838351aeca6332c0949b463 | SHA256 ハッシュ | STAC4713 および STAC3725 に関連する、正規の QEMU 実行ファイル (qemu-system-x86_64.exe) |
| 903edad58d54f056bd94c8165cc20e105b054fa8 | SHA1 ハッシュ | STAC4713 および STAC3725 に関連する、正規の QEMU 実行ファイル (qemu-system-x86_64.exe) |
| b186baf2653c6c874e7b946647b048cc | MD5 ハッシュ | STAC4713 および STAC3725 に関連する、正規の QEMU 実行ファイル (qemu-system-x86_64.exe) |
| 61c14c01460810f6f5f760daf8edbda82eea908b1a95052f8e0f9c4162c2900c | SHA256 ハッシュ | STAC4713 に関連する、攻撃ツールが含まれる QEMU の悪意のあるディスクイメージ (bisrv.dll) |
| 3a33b5bceb1eba4cc749534b03dd245f965d8f200aa02392baad78f5021a20ff | SHA256 ハッシュ | STAC4713 に関連する、カスタムの WireGuard トラフィックプロキシバイナリ (wg-obfuscator) |
| 8c8e75dc4b4e1f201b56133a00fa9d1d711ccb50 | SHA1 ハッシュ | STAC4713 に関連する、カスタムの WireGuard トラフィックプロキシバイナリ (wg-obfuscator) |
| 6f55743091410dad6cdb0b7e474f03e7 | MD5 ハッシュ | STAC4713 に関連する、カスタムの WireGuard トラフィックプロキシバイナリ (wg-obfuscator) |
| 144[.]208[.]127[.]190 | IP アドレス | C2 サーバーの疑いあり。STAC4713 に関連する QEMU VM ディスクイメージ (bisrv.dll) 内の既知の SSH ホスト |
| 74[.]242[.]216[.]76 | IP アドレス | C2 サーバーの疑いあり。STAC4713 に関連する vault.db ファイルによって確立されたリバース SSH トンネルの接続先 |
| 194[.]110[.]172[.]152 | IP アドレス | C2 サーバーの疑いあり。STAC4713 に関連するリバース SSH トンネルの接続先 |
| 98[.]81[.]138[.]214 | IP アドレス | C2 サーバーの疑いあり。STAC4713 に関連する vault.db ファイルによって確立されたリバース SSH トンネルの接続先 |
| 158[.]158[.]0[.]165 | IP アドレス | C2 サーバーの疑いあり。STAC4713 に関連する vault.db ファイルによって確立されたリバース SSH トンネルの接続先 |
| vtps[.]us | ドメイン名 | STAC3725 に関連する、悪意のある ScreenConnect 中継サーバー |
表 2: この脅威の指標