Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Atacantes convierten QEMU en un sigiloso backdoor para robo de credenciales y ransomware


Los actores de amenazas están ahora utilizando QEMU, un emulador de máquinas y virtualizador de código abierto legítimo, como una puerta trasera encubierta para robar credenciales y distribuir ransomware sin activar alertas de seguridad en los endpoints. Este preocupante cambio en el comportamiento de los atacantes destaca cómo herramientas de software confiables y de libre disponibilidad están siendo convertidas en potentes armas de evasión dentro de entornos empresariales. QEMU, que es ampliamente utilizado






Los actores de amenazas están weaponizando QEMU, un emulador de máquinas y virtualizador de código abierto legítimo, como una puerta trasera encubierta para robar credenciales y desplegar ransomware sin activar alertas de seguridad en los endpoints.

Este alarmante cambio en el comportamiento de los atacantes destaca cómo herramientas de software confiables y de libre acceso están siendo convertidas en armas de evasión poderosas dentro de entornos empresariales.

QEMU, ampliamente utilizado para virtualización de hardware y pruebas de software, se ha convertido en un objetivo atractivo para el abuso porque la actividad maliciosa que se ejecuta dentro de una máquina virtual (VM) es esencialmente invisible para la mayoría de las herramientas de protección de endpoints. Los controles de seguridad instalados en el sistema host no pueden ver lo que ocurre dentro de la VM oculta, y estos ataques dejan muy pocas evidencias forenses para que los investigadores las recuperen. Esto hace que las intrusiones basadas en QEMU sean extremadamente difíciles de detectar y contener en tiempo real.

Los analistas de Sophos están investigando activamente el abuso de QEMU por parte de actores de amenazas que ejecutan VMs ocultas para ocultar sus operaciones, recolectar credenciales de dominio y preparar despliegues de ransomware contra organizaciones objetivo.



 

Su investigación identificó dos campañas de ataque distintas operando desde finales de 2025, rastreadas como STAC4713 y STAC3725, ambas explotando la virtualización como estrategia central de evasión.

Los analistas señalaron que esta técnica no es completamente nueva, pero el reciente aumento en incidentes relacionados con QEMU apunta a una tendencia creciente entre grupos de amenazas sofisticados.

La campaña STAC4713, detectada por primera vez en noviembre de 2025, está directamente vinculada a la operación de ransomware PayoutsKing y se atribuye a un grupo de amenazas conocido como GOLD ENCOUNTER.

 

PayoutsKing surgió a mediados de 2025 y, notablemente, no opera bajo un modelo de ransomware como servicio (RaaS), lo que significa que el grupo ejecuta los ataques directamente en lugar de depender de afiliados. El análisis de Sophos revela que el grupo apunta específicamente a entornos de hipervisores y ha desarrollado cifradores diseñados tanto para plataformas VMware como ESXi.

La segunda campaña, STAC3725, apareció por primera vez en febrero de 2026 y explota la vulnerabilidad CitrixBleed2 (CVE-2025-5777) como punto de entrada inicial. Tras obtener acceso, los atacantes instalan un cliente malicioso de ScreenConnect para mantener la persistencia y luego despliegan una VM con QEMU para ejecutar operaciones de robo de credenciales contra el entorno de Active Directory de la víctima.

Dentro del ataque: cómo QEMU se convierte en un arma oculta

La cadena de infección utilizada en la campaña STAC4713 comienza con los atacantes creando una tarea programada llamada “TPMProfiler”, que ejecuta el ejecutable de QEMU (qemu-system-x86_64.exe) bajo la cuenta SYSTEM. La tarea se inicia usando una imagen de disco duro virtual que emplea extensiones de archivo poco comunes para evitar la detección, inicialmente disfrazada como vault.db y luego cambiada a un archivo DLL llamado bisrv.dll en enero de 2026. Este camuflaje inteligente de archivos es un paso deliberado para hacer que el disco virtual se mezcle con archivos legítimos del sistema y pase desapercibido ante herramientas de monitoreo de seguridad.

Una vez que se ejecuta la tarea programada, también configura el reenvío de puertos desde puertos personalizados (32567 y 22022) al puerto 22 para acceso SSH. Al iniciar el sistema, la imagen de disco utiliza AdaptixC2 o OpenSSH para establecer un túnel SSH inverso hacia una dirección IP remota, creando un canal de acceso remoto oculto que evade por completo las detecciones estándar en los endpoints.

La VM de QEMU en sí aloja una imagen de Alpine Linux 3.22.0 precargada con herramientas del atacante, incluyendo Linker2, AdaptixC2, un ofuscador de tráfico WireGuard personalizado llamado wg-obfuscator, BusyBox, Chisel y Rclone.

En STAC3725, en lugar de desplegar un kit de herramientas preconstruido, los atacantes compilan manualmente su suite de ataque completa dentro de la VM. Esto incluye Impacket, KrbRelayX, Coercer, BloodHound.py, NetExec, Kerbrute y Metasploit, junto con bibliotecas de soporte para Python, Rust, Ruby y C. La actividad maliciosa observada incluyó descargar credenciales, enumerar nombres de usuario Kerberos mediante Kerbrute, realizar reconocimiento de Active Directory con BloodHound y preparar cargas útiles usando servidores FTP.

Las organizaciones deberían tomar las siguientes acciones defensivas en respuesta a esta amenaza:

  • Audita todos los entornos en busca de instalaciones no autorizadas de QEMU y tareas programadas inesperadas, especialmente aquellas que se ejecutan bajo la cuenta SYSTEM.
  • Monitorea túneles SSH salientes originados desde puertos no estándar y marca cualquier imagen de disco virtual que lleve extensiones de archivo poco comunes como .db, .dll o .qcow2.
  • Refuerza la autenticación multifactor (MFA) en todos los sistemas de VPN y acceso remoto para limitar las oportunidades de acceso inicial.
  • Aplica parches para vulnerabilidades conocidas, incluyendo CitrixBleed2 (CVE-2025-5777) y SolarWinds Web Help Desk (CVE-2025-26399), para reducir la exposición a la explotación activa.
  • Implementa reglas de detección a nivel de red para identificar configuraciones inusuales de reenvío de puertos que apunten al puerto 22 desde puertos fuente no estándar.


Fuentes:
https://cybersecuritynews.com/attackers-turn-qemu-into-a-stealth-backdoor/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.