QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

Thu, 16 Apr 2026 00:00:00 +0000

🔍 Contexte

Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints.

🎯 Campagne STAC4713 (depuis novembre 2025)

Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert :

Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM
Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026)
Port forwarding vers les ports 32567, 22022 → port 22 (SSH)
VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone
Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB
Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk)

Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP.

FTK Imager on CyberVeille

QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

🔍 Contexte

🎯 Campagne STAC4713 (depuis novembre 2025)