Как Payouts King использует виртуальные машины для скрытия вредоносных инструментов

Опубликовано | Опубликовано Автор

Современные шифровальщики все чаще прячут свои инструменты не на внешних носителях, а прямо внутри заражённых систем. Группа Payouts King начала использовать эмулятор QEMU для создания скрытых виртуальных машин на уже взломанных устройствах. Такой подход затрудняет работу антивирусов и систем обнаружения на хосте, поскольку они не видят активности внутри гостевой ОС.

QEMU — это открытый эмулятор процессоров и системной виртуализации, позволяющий запускать разные операционные системы в виртуальных машинах. Для злоумышленников это удобно: внутри виртуальной машины можно хранить вредоносные файлы, запускать дополнительные инструменты для разведки и создавать незаметные SSH-туннели для удалённого доступа. Ранее QEMU применялся в атаках группировок 3AM, LoudMiner и CRON#TRAP.

Исследователи Sophos подробно изучили две кампании с использованием QEMU. Первая, обозначенная как STAC4713 и связанная с вымогательским ПО Payouts King, была зафиксирована в ноябре 2025 года. Вторая — STAC3725, обнаружена в феврале 2026 года, использовала уязвимость CitrixBleed 2 (CVE-2025-5777) для проникновения через устройства NetScaler.

В рамках STAC4713 операторы из группы GOLD ENCOUNTER создают запланированную задачу TPMProfiler, которая запускает виртуальную машину QEMU с правами SYSTEM. Вредоносные диски маскируются под базы данных и DLL-файлы, а порты перенаправляются для организации скрытого SSH-туннеля. В виртуальной машине работает Alpine Linux с набором инструментов AdaptixC2, Chisel, BusyBox и Rclone, обеспечивающих управление и передачу данных.

Методы начального доступа менялись: от использования SonicWall VPN и уязвимостей SolarWinds до социальной инженерии с помощью Microsoft Teams и Quick Assist. После проникновения злоумышленники собирают учётные данные Windows, создают теневые копии и копируют базы данных для последующего анализа и эксфильтрации.

Вторая кампания STAC3725 разворачивается через эксплуатацию уязвимости в Citrix, установку сервиса AppMgmt и клиента ScreenConnect для закрепления в системе. Далее загружается QEMU с Alpine Linux, где вручную собирается широкий набор инструментов для постэксплуатации и анализа домена Active Directory.

Специалисты Sophos рекомендуют обращать внимание на признаки компрометации: несанкционированные установки QEMU, подозрительные задачи с запуском от SYSTEM, необычные SSH-туннели и перенаправления портов. Такой подход к сокрытию атак демонстрирует новый уровень сложности для средств защиты.