Вымогатели запускают Linux внутри Windows — и крадут всё, пока антивирус спит
NewsMakerКак Payouts King прячет инструменты в виртуальной машине внутри заражённой системы.
Шифровальщики все чаще прячут вредоносные инструменты не где-то рядом с системой, а прямо внутри нее. Операторы Payouts King начали использовать QEMU как скрытый канал доступа и площадку для запуска виртуальных машин на уже скомпрометированных устройствах. Для защитных решений на хосте такой прием особенно неприятен: антивирус, EDR и другие средства контроля следят за основной системой, но не видят, что происходит внутри гостевой машины.
QEMU в нормальном сценарии нужен для эмуляции процессоров и системной виртуализации. Инструмент с открытым исходным кодом позволяет запускать на одном компьютере другие операционные системы в виде виртуальных машин. Для атакующих такая схема полезна сразу по нескольким причинам. Внутри виртуальной машины можно хранить вредоносные файлы, запускать дополнительные нагрузки, разворачивать собственные утилиты для разведки и строить скрытые туннели удаленного доступа по SSH. Именно поэтому QEMU уже не раз появлялся в атаках разных группировок, включая вымогателей 3AM, майнинг-операцию LoudMiner и фишинговую кампанию CRON#TRAP.
Две такие кампании подробно разобрали исследователи Sophos. В обоих случаях злоумышленники использовали QEMU как часть набора для закрепления в сети и сбора доменных учетных данных. Первая операция, которую компания отслеживает как STAC4713, впервые попала в поле зрения в ноябре 2025 года. Sophos связывает ее с вымогательской программой Payouts King. Вторая кампания проходит под индексом STAC3725. Ее заметили уже в феврале 2026 года. Для первоначального проникновения там использовали уязвимость CitrixBleed 2, известную как CVE-2025-5777, в устройствах NetScaler ADC и NetScaler Gateway.
В случае STAC4713 исследователи связывают операторов с группой GOLD ENCOUNTER. Группировка известна атаками на гипервизоры, а также использованием шифровальщиков для сред VMware и ESXi. По данным Sophos, злоумышленники создают запланированную задачу с именем TPMProfiler и через нее запускают скрытую виртуальную машину QEMU с правами SYSTEM. Виртуальные диски маскируют под файлы баз данных и библиотеки DLL. Дальше настраивают переадресацию портов, чтобы получить незаметный доступ к зараженному хосту через обратный SSH-туннель.
Шифровальщики все чаще прячут вредоносные инструменты не где-то рядом с системой, а прямо внутри нее. Операторы Payouts King начали использовать QEMU как скрытый канал доступа и площадку для запуска виртуальных машин на уже скомпрометированных устройствах. Для защитных решений на хосте такой прием особенно неприятен: антивирус, EDR и другие средства контроля следят за основной системой, но не видят, что происходит внутри гостевой машины.
QEMU в нормальном сценарии нужен для эмуляции процессоров и системной виртуализации. Инструмент с открытым исходным кодом позволяет запускать на одном компьютере другие операционные системы в виде виртуальных машин. Для атакующих такая схема полезна сразу по нескольким причинам. Внутри виртуальной машины можно хранить вредоносные файлы, запускать дополнительные нагрузки, разворачивать собственные утилиты для разведки и строить скрытые туннели удаленного доступа по SSH. Именно поэтому QEMU уже не раз появлялся в атаках разных группировок, включая вымогателей 3AM, майнинг-операцию LoudMiner и фишинговую кампанию CRON#TRAP.
Две такие кампании подробно разобрали исследователи Sophos. В обоих случаях злоумышленники использовали QEMU как часть набора для закрепления в сети и сбора доменных учетных данных. Первая операция, которую компания отслеживает как STAC4713, впервые попала в поле зрения в ноябре 2025 года. Sophos связывает ее с вымогательской программой Payouts King. Вторая кампания проходит под индексом STAC3725. Ее заметили уже в феврале 2026 года. Для первоначального проникновения там использовали уязвимость CitrixBleed 2, известную как CVE-2025-5777, в устройствах NetScaler ADC и NetScaler Gateway.
В случае STAC4713 исследователи связывают операторов с группой GOLD ENCOUNTER. Группировка известна атаками на гипервизоры, а также использованием шифровальщиков для сред VMware и ESXi. По данным Sophos, злоумышленники создают запланированную задачу с именем TPMProfiler и через нее запускают скрытую виртуальную машину QEMU с правами SYSTEM. Виртуальные диски маскируют под файлы баз данных и библиотеки DLL. Дальше настраивают переадресацию портов, чтобы получить незаметный доступ к зараженному хосту через обратный SSH-туннель.