O ransomware Payouts King está usando o QEMU como uma backdoor reversa via SSH para executar máquinas virtuais ocultas em sistemas comprometidos e driblar soluções de segurança de endpoint.
O QEMU é uma ferramenta open source de emulação de CPU e virtualização de sistemas que permite executar sistemas operacionais em um computador hospedeiro como máquinas virtuais.
Como as soluções de segurança no host não conseguem inspecionar o conteúdo interno dessas máquinas virtuais, invasores podem usá-las para executar payloads, armazenar arquivos maliciosos e criar túneis covert de acesso remoto via SSH.
Por esse motivo, o QEMU já foi abusado em operações anteriores atribuídas a diferentes grupos de ameaça, incluindo o ransomware 3AM ransomware, a campanha de cryptomining LoudMiner e o phishing conhecido como CRON#TRAP.
Pesquisadores da Sophos documentaram duas campanhas em que atacantes usaram o QEMU como parte do arsenal e para coletar credenciais de domínio.
Uma das campanhas, rastreada como STAC4713, foi observada pela primeira vez em novembro de 2025 e foi associada à operação do Payouts King.
A outra, identificada como STAC3725, foi vista em fevereiro deste ano e explora a vulnerabilidade CitrixBleed 2, catalogada como
CVE-2025-5777
, em instâncias do NetScaler ADC e Gateway.
Os pesquisadores apontam que os agentes por trás da campanha STAC4713 estão ligados ao grupo GOLD ENCOUNTER, conhecido por mirar hipervisores e criptografadores em ambientes VMware e ESXi.
Segundo a Sophos, o invasor cria uma tarefa agendada chamada TPMProfiler para iniciar uma máquina virtual oculta do QEMU com privilégios de SYSTEM.
Eles usam arquivos de disco virtual disfarçados de bancos de dados e arquivos DLL, além de configurar redirecionamento de portas para garantir acesso covert ao host infectado por meio de um túnel SSH reverso.
A máquina virtual executa o Alpine Linux 3.22.0, com ferramentas usadas pelos atacantes, como AdaptixC2, Chisel, BusyBox e Rclone.
A Sophos informa que o acesso inicial ocorreu por meio de VPNs SonicWall expostas, enquanto, em ataques mais recentes, foi observada a exploração da vulnerabilidade
CVE-2025-26399
no SolarWinds Web Help Desk.
Na fase pós-intrusão, os criminosos usaram VSS, por meio do vssuirun.exe, para criar uma cópia de sombra e, em seguida, utilizaram o comando print via SMB para copiar os arquivos NTDS.dit, SAM e SYSTEM para diretórios temporários.
Incidentes mais recentes atribuídos ao mesmo agente de ameaça usaram outros vetores de acesso inicial.
Em um ataque ocorrido em fevereiro, o GOLD ENCOUNTER explorou uma VPN SSL da Cisco exposta e, em março, os invasores se passaram por funcionários de TI e enganaram colaboradores pelo Microsoft Teams para que baixassem e instalassem o Quick Assist.
Segundo um relatório da Zscaler, o Payouts King provavelmente tem ligação com ex-afiliados do BlackBasta, com base no uso de métodos semelhantes de acesso inicial, como bombardeio de spam, phishing via Microsoft Teams e abuso do Quick Assist.
A variante usa forte ofuscação e mecanismos anti-análise, mantém persistência por meio de tarefas agendadas e encerra ferramentas de segurança com chamadas de baixo nível do sistema.
O esquema de criptografia do Payouts King utiliza AES-256 em modo CTR com RSA-4096 e criptografia intermitente para arquivos maiores.
As notas de resgate deixadas no sistema orientam as vítimas para sites de vazamento na dark web.
A segunda campanha observada pela Sophos, STAC3725, está ativa desde fevereiro e explora a vulnerabilidade
CVE-2025-5777
para obter acesso inicial aos ambientes-alvo.
Depois de comprometer dispositivos NetScaler ADC, os atacantes implantam um arquivo ZIP com um executável malicioso que instala um serviço chamado AppMgmt, cria um novo usuário administrador local identificado como CtxAppVCOMService e instala o cliente ScreenConnect para persistência.
O cliente ScreenConnect se conecta a um servidor relay remoto e estabelece uma sessão com privilégios de sistema.
Em seguida, ele libera e extrai um pacote do QEMU que executa uma máquina virtual oculta com Alpine Linux usando uma imagem de disco customizada.
Em vez de usar um toolkit pronto, os atacantes instalam e compilam manualmente suas ferramentas dentro da máquina virtual, incluindo Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e Metasploit.
As atividades observadas incluem coleta de credenciais, enumeração de usuários Kerberos, reconhecimento de Active Directory e preparação de dados para exfiltração por servidores FTP.
A Sophos recomenda que as organizações procurem instalações não autorizadas do QEMU, tarefas agendadas suspeitas executadas com privilégios de SYSTEM, redirecionamento incomum de portas SSH e túneis SSH de saída em portas não padrão.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...