QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

🔍 Contexte

Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints.

🎯 Campagne STAC4713 (depuis novembre 2025)

Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert :

• Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM
• Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026)
• Port forwarding vers les ports 32567, 22022 → port 22 (SSH)
• VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone
• Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB
• Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk)

Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP.

🎯 Campagne STAC3725 (depuis février 2026)

Exploite CVE-2025-5777 (CitrixBleed2 / NetScaler) pour l’accès initial :

• Installation d’un client ScreenConnect malveillant via service AppMgmt, ajout d’un admin local CtxAppVCOMService
• Relay ScreenConnect : vtps.us
• Déploiement de QEMU avec image custom.qcow2 (Alpine Linux)
• Compilation manuelle dans la VM : Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute, Metasploit
• Activités : énumération Kerberos, reconnaissance AD, serveurs FTP via pyftpdlib
• Clé de registre WDigest, installation de FTK Imager, driver vulnérable K7RKScan_1516.sys
• Activités post-compromission : NetBird, cookie_exporter.exe, désactivation de Microsoft Defender

🏴 Attribution

• GOLD ENCOUNTER : groupe cybercriminel opérant PayoutsKing ransomware (apparu mi-2025), ciblant hyperviseurs VMware/ESXi, sans modèle RaaS

📄 Type d’article

Analyse technique et rapport de campagne produit par Sophos, visant à documenter les TTPs, fournir des IoCs exploitables et des règles de détection pour les défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

• GOLD ENCOUNTER (cybercriminal) — orkl.eu

TTP

• T1564.006 — Hide Artifacts: Run Virtual Instance (Defense Evasion)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1572 — Protocol Tunneling (Command and Control)
• T1021.004 — Remote Services: SSH (Lateral Movement)
• T1003.003 — OS Credential Dumping: NTDS (Credential Access)
• T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
• T1078 — Valid Accounts (Initial Access)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1219 — Remote Access Software (Command and Control)
• T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1087 — Account Discovery (Discovery)
• T1069 — Permission Groups Discovery (Discovery)
• T1136.001 — Create Account: Local Account (Persistence)
• T1112 — Modify Registry (Defense Evasion)
• T1543.003 — Create or Modify System Process: Windows Service (Persistence)
• T1486 — Data Encrypted for Impact (Impact)

IOC

• IPv4 : 144.208.127.190 — AbuseIPDB · VT · ThreatFox
• IPv4 : 74.242.216.76 — AbuseIPDB · VT · ThreatFox
• IPv4 : 194.110.172.152 — AbuseIPDB · VT · ThreatFox
• IPv4 : 98.81.138.214 — AbuseIPDB · VT · ThreatFox
• IPv4 : 158.158.0.165 — AbuseIPDB · VT · ThreatFox
• Domaines : vtps.us — VT · URLhaus · ThreatFox
• SHA256 : 7ae413b76424508055154ee262c7567705dc1ac00607f5ac2e43d032221b34b3 — VT · MalwareBazaar
• SHA256 : f3194018d60645e43afabac33ceb4e852f95241b410cd726b1c40e3021589937 — VT · MalwareBazaar
• SHA256 : c6b848c6a61685724fa9e2b3f6e3a118323ee0c165d1aa8c8a574205a4c4be59 — VT · MalwareBazaar
• SHA256 : a65f0144101d93656c5f9ad445b3993336e1f295a838351aeca6332c0949b463 — VT · MalwareBazaar
• SHA256 : 61c14c01460810f6f5f760daf8edbda82eea908b1a95052f8e0f9c4162c2900c — VT · MalwareBazaar
• SHA256 : 3a33b5bceb1eba4cc749534b03dd245f965d8f200aa02392baad78f5021a20ff — VT · MalwareBazaar
• SHA1 : 25e4d0eacff44f67a0a9d13970656cf76e5fd78c — VT · MalwareBazaar
• SHA1 : 6c09b0d102361888daa7fa4f191f603a19af47cb — VT · MalwareBazaar
• SHA1 : 66dc383e9e0852523fe50def0851b9268865f779 — VT · MalwareBazaar
• SHA1 : 903edad58d54f056bd94c8165cc20e105b054fa8 — VT · MalwareBazaar
• SHA1 : 8c8e75dc4b4e1f201b56133a00fa9d1d711ccb50 — VT · MalwareBazaar
• MD5 : f7a11aeaa4f0c748961bbebb2f9e12b6 — VT · MalwareBazaar
• MD5 : b752ebfc1004f2c717609145e28243f3 — VT · MalwareBazaar
• MD5 : b186baf2653c6c874e7b946647b048cc — VT · MalwareBazaar
• MD5 : 6f55743091410dad6cdb0b7e474f03e7 — VT · MalwareBazaar
• CVEs : CVE-2025-26399 — NVD · CIRCL
• CVEs : CVE-2025-5777 — NVD · CIRCL
• Fichiers : qemu-system-x86_64.exe
• Fichiers : vault.db
• Fichiers : bisrv.dll
• Fichiers : custom.qcow2
• Fichiers : an.zip
• Fichiers : an.exe
• Fichiers : qemu_custom.zip
• Fichiers : vcruntime140_1.dll
• Fichiers : ADNotificationManager.exe
• Fichiers : ScreenConnect.ClientService.exe
• Fichiers : K7RKScan_1516.sys
• Fichiers : cookie_exporter.exe
• Fichiers : wg-obfuscator

Malware / Outils

• PayoutsKing (ransomware)
• AdaptixC2 (framework)
• Havoc C2 (framework)
• 3AM (ransomware)
• QDoor (backdoor)
• Rclone (tool)
• Chisel (tool)
• BusyBox (tool)
• wg-obfuscator (tool)
• Impacket (framework)
• KrbRelayx (tool)
• Coercer (tool)
• BloodHound (tool)
• NetExec (tool)
• Kerbrute (tool)
• Metasploit (framework)
• ScreenConnect (rat)
• FTK Imager (tool)
• NetBird (tool)
• QuickAssist (tool)
• WizTree (tool)
• Total Software Deployment (tool)
• Total Network Inventory (tool)

🟢 Indice de vérification factuelle : 80/100 (haute)

• ✅ sophos.com — source reconnue (liste interne) (20pts)
• ✅ 11776 chars — texte complet (fulltext extrait) (15pts)
• ✅ 36 IOCs dont des hashes (15pts)
• ⬜ 0/7 IOCs confirmés externellement (0pts)
• ✅ 19 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : GOLD ENCOUNTER (5pts)
• ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery