Un nouveau type de ransomware, Payouts King, utilise l’émulateur QEMU comme porte dérobée reverse SSH pour exécuter des machines virtuelles cachées sur des systèmes compromis, contournant ainsi la sécurité des points de terminaison.
QEMU est un outil de virtualisation open-source permettant d’exécuter des systèmes d’exploitation en tant que machines virtuelles sur un ordinateur hôte. Étant donné que les solutions de sécurité sur l’hôte ne peuvent pas scanner l’intérieur des machines virtuelles, les attaquants les exploitent pour exécuter des charges utiles, stocker des fichiers malveillants et établir des tunnels d’accès à distance via SSH.
Cette technique a déjà été employée dans plusieurs opérations malveillantes, impliquant des groupes comme 3AM, LoudMiner et des campagnes de phishing telles que ‘CRON#TRAP’. Les chercheurs de l’entreprise de cybersécurité Sophos ont documenté deux campagnes où QEMU était utilisé pour collecter des informations d’identification de domaine.
La première campagne, identifiée comme STAC4713, a été observée pour la première fois en novembre 2025 et est liée à l’opération du ransomware Payouts King. La seconde, nommée STAC3725, a été repérée en février de cette année et exploite la vulnérabilité CitrixBleed 2 (CVE‑2025‑5777) dans les instances NetScaler ADC et Gateway.
Exécution de machines virtuelles Alpine Linux
Les acteurs de menace derrière la campagne STAC4713 sont associés au groupe GOLD ENCOUNTER, connu pour cibler les hyperviseurs et les logiciels d’encryption dans les environnements VMware et ESXi. Selon Sophos, le malfaiteur crée une tâche planifiée appelée ‘TPMProfiler’ pour lancer une machine virtuelle QEMU cachée avec les privilèges SYSTEM.
Ils utilisent des fichiers de disque virtuel déguisés en bases de données et fichiers DLL, tout en configurant le transfert de ports pour permettre un accès discret à l’hôte infecté via un tunnel SSH inverse. La machine virtuelle exécute une version de Alpine Linux 3.22.0, intégrant des outils tels que AdaptixC2, Chisel, BusyBox et Rclone.
Les premières intrusions ont été facilitées par des VPN SonicWall exposés, tandis que des attaques plus récentes ont exploité la vulnérabilité de SolarWinds Web Help Desk (CVE-2025-26399). Après l’infection, les attaquants utilisent VSS (vssuirun.exe) pour créer une copie de l’ombre, puis utilisent la commande d’impression via SMB pour copier les bases de données NTDS.dit, SAM et SYSTEM vers des répertoires temporaires.
Dans des incidents récents, le groupe GOLD ENCOUNTER a utilisé d’autres vecteurs d’accès. En février, ils ont exploité un VPN SSL Cisco exposé et, en mars, se sont fait passer pour le personnel informatique via Microsoft Teams pour inciter les employés à télécharger et installer QuickAssist.
Lors de ces attaques, les acteurs ont utilisé le binaire légitime ADNotificationManager.exe pour introduire une charge utile C2 Havoc (vcruntime140_1.dll) et exploiter Rclone pour exfiltrer des données vers un serveur SFTP distant.
D’aprèc un rapport de Zscaler publié cette semaine, Payouts King serait probablement lié à d’anciens affiliés de BlackBasta, en raison de l’utilisation de méthodes d’accès initial similaires telles que le spam, le phishing par MS Teams et l’utilisation abusive de Quick Assist.
Le ransomware applique un schéma de chiffrement utilisant AES-256 (CTR) avec RSA-4096, en intégrant un chiffrement intermittent pour les fichiers plus volumineux. Les notes de rançon orientent les victimes vers des sites de fuite sur le dark web.
Quant à la seconde campagne observée par Sophos (STAC3725), elle est active depuis février et exploite la vulnérabilité CitrixBleed 2 pour accéder aux environnements ciblés. Après avoir compromis les appareils NetScaler, les attaquants déploient une archive ZIP contenant un exécutable malveillant qui installe un service nommé ‘AppMgmt’, crée un nouvel utilisateur admin local (CtxAppVCOMService) et installe un client ScreenConnect pour assurer la persistance.
Le client ScreenConnect établit une connexion avec un serveur relais à distance et ouvre une session avec des privilèges système, puis déploie un package QEMU qui exécute une machine virtuelle Alpine Linux en utilisant une image disque custom.qcow2. Au lieu d’utiliser un kit d’outils préconstruit, les attaquants installent et compilent manuellement leurs outils, tels que Impacket, KrbRelayx et Metasploit, à l’intérieur de la VM.
Les activités observées incluent la collecte d’identifiants, l’énumération de noms d’utilisateur Kerberos, la reconnaissance de l’Active Directory et la préparation des données pour l’exfiltration via des serveurs FTP.
Sophos recommande aux organisations de surveiller les installations non autorisées de QEMU, les tâches planifiées suspectes s’exécutant avec des privilèges SYSTEM, les transferts de port SSH inhabituels et les tunnels SSH sortants sur des ports non standards.
Source: BleepingComputer