Wprowadzenie do problemu / definicja
QEMU, znany emulator i hiperwizor open source, został wykorzystany przez cyberprzestępców jako narzędzie do ukrywania aktywności po przejęciu dostępu do środowiska ofiary. Zamiast prowadzić działania bezpośrednio w systemie gospodarza, napastnicy uruchamiają lokalną maszynę wirtualną i przenoszą do niej część operacji post-exploitation.
Taki model utrudnia wykrywanie incydentu, ponieważ ogranicza widoczność aktywności dla części narzędzi EDR oraz osłabia skuteczność monitoringu skoncentrowanego wyłącznie na procesach hosta. W praktyce legalne oprogramowanie infrastrukturalne zaczyna pełnić rolę osłony dla działań ofensywnych.
W skrócie
Badacze opisali co najmniej dwie kampanie, w których QEMU posłużył do obejścia mechanizmów bezpieczeństwa i wsparcia dalszych etapów ataku. W jednym scenariuszu emulator działał jako ukryty kanał reverse SSH oraz element utrzymywania dostępu, a w drugim umożliwiał prowadzenie rozpoznania, kradzież poświadczeń i przygotowanie kolejnych ładunków po wykorzystaniu podatności w urządzeniach brzegowych.
- QEMU był uruchamiany lokalnie na skompromitowanym hoście.
- Napastnicy dostarczali wraz z nim gotowy obraz dysku maszyny wirtualnej.
- Część aktywności była wykonywana manualnie wewnątrz środowiska gościa.
- Technika wspierała unikanie detekcji i utrzymanie trwałości.
- Zaobserwowano powiązania z operacjami ransomware i zdalnym dostępem.
Kontekst / historia
Wcześniej QEMU pojawiał się już w analizach incydentów jako narzędzie do budowy ukrytych kanałów komunikacyjnych i uruchamiania backdoorów poza głównym kontekstem systemu operacyjnego ofiary. Nowsze obserwacje pokazują jednak wyraźniejszy wzrost aktywności tego typu od końca 2025 roku.
Jedna z kampanii, oznaczona jako STAC4713 i potencjalnie łączona z operacjami ransomware PayoutsKing, została po raz pierwszy zaobserwowana w listopadzie 2025 roku. Atakujący mieli początkowo wykorzystywać wystawione do internetu urządzenia SonicWall VPN bez włączonego MFA, a następnie przechodzić do eksploatacji luki CVE-2025-26399 w SolarWinds Web Help Desk.
Druga kampania, oznaczona jako STAC3725, została odnotowana w lutym 2026 roku. W tym przypadku wektor wejścia opierał się na wykorzystaniu podatności CVE-2025-5777, znanej jako CitrixBleed2, po czym do utrzymania dostępu użyto złośliwego klienta ScreenConnect. Po uzyskaniu przyczółka napastnicy pobierali QEMU i obraz dysku maszyny wirtualnej, a następnie realizowali kolejne działania wewnątrz odizolowanego środowiska.
Analiza techniczna
Kluczowym elementem tej techniki jest oddzielenie aktywności napastnika od systemu gospodarza. Po kompromitacji hosta tworzona jest usługa systemowa lub zadanie harmonogramu uruchamiające QEMU z wysokimi uprawnieniami, często na poziomie SYSTEM. Wraz z emulatorem dostarczany jest przygotowany wcześniej obraz dysku zawierający system operacyjny i zestaw narzędzi ofensywnych.
Po uruchomieniu maszyny wirtualnej operator może zestawić tunel reverse SSH, który daje bezpośredni dostęp do systemu gościa uruchomionego na przejętym urządzeniu. Taki kanał może służyć do wykonywania poleceń, przenoszenia kolejnych ładunków, transferu danych i omijania części polityk bezpieczeństwa opartych na analizie procesów widocznych w systemie Windows.
W obserwowanych incydentach wykonywano również działania typowe dla fazy post-exploitation. Obejmowały one tworzenie migawek Volume Shadow Copy, kopiowanie bazy Active Directory oraz rejestrów SAM i SYSTEM do katalogów tymczasowych. Dodatkowo prowadzono rekonesans udziałów sieciowych, enumerację użytkowników Kerberos, analizę środowiska AD, przygotowanie ładunków i eksfiltrację danych.
Istotny jest też wymiar operacyjny tej techniki. QEMU może działać jako przenośny, izolowany kontener dla zestawu narzędzi atakującego, co ogranicza zależność od konfiguracji hosta i jednocześnie utrudnia analizę śledczą. jeżeli monitoring bezpieczeństwa skupia się głównie na aktywności bezpośrednio w systemie gospodarza, część operacji prowadzonych w maszynie wirtualnej może długo pozostać niewidoczna.
Konsekwencje / ryzyko
Nadużycie QEMU znacząco podnosi skuteczność unikania detekcji i komplikuje dochodzenie po incydencie. Organizacje, które nie traktują narzędzi wirtualizacyjnych jako potencjalnego wskaźnika kompromitacji, mogą przeoczyć długotrwałą obecność przeciwnika w sieci.
Ryzyko rośnie szczególnie w środowiskach z niezałatanymi systemami brzegowymi, słabą kontrolą dostępu uprzywilejowanego oraz ograniczonym monitoringiem zadań harmonogramu, usług systemowych i ruchu wychodzącego. jeżeli napastnik używa QEMU do zestawienia tunelu SSH i prowadzenia działań w odseparowanym systemie gościa, standardowe reguły wykrywania mogą okazać się niewystarczające.
Dodatkowym zagrożeniem jest wykorzystanie tej techniki jako etapu przygotowawczego przed wdrożeniem ransomware. W opisanych kampaniach pojawiały się sygnały świadczące o kradzieży poświadczeń, rozpoznaniu domenowym i przygotowaniu gruntu pod dalszą, bardziej destrukcyjną aktywność.
Rekomendacje
Organizacje powinny objąć kontrolą i monitoringiem narzędzia wirtualizacyjne, zwłaszcza jeżeli ich użycie nie wynika bezpośrednio z potrzeb biznesowych. Każda nieautoryzowana instalacja QEMU, obecność nietypowych obrazów dysków wirtualnych lub uruchamianie emulatora z wysokimi uprawnieniami powinny być traktowane jako zdarzenie wysokiego ryzyka.
- Monitorować tworzenie nowych zadań harmonogramu i usług uruchamiających komponenty związane z wirtualizacją.
- Wykrywać nietypowe tunele SSH, przekierowania portów i podejrzany ruch wychodzący.
- Sprawdzać obecność nieautoryzowanych obrazów maszyn wirtualnych na stacjach roboczych i serwerach.
- Ograniczać uruchamianie niezatwierdzonego systemu dzięki polityk aplikacyjnych.
- Priorytetowo łatać systemy publicznie dostępne, w tym rozwiązania VPN, urządzenia brzegowe i panele administracyjne.
- Wymuszać MFA dla wszystkich usług zdalnego dostępu.
- Analizować artefakty związane z kopiowaniem bazy AD, plików SAM i SYSTEM oraz tworzeniem migawek VSS.
- Rozszerzać reguły detekcyjne o legalne narzędzia mogące być nadużywane jako LOLBins lub LOLTools.
Z perspektywy zespołów SOC i DFIR najważniejsze jest korelowanie danych z hosta i sieci. Sam proces QEMU może nie wystarczyć do pełnej oceny zagrożenia, dlatego należy analizować także rodzica procesu, argumenty wiersza poleceń, powiązane mechanizmy trwałości, połączenia sieciowe oraz działania na poświadczeniach i zasobach katalogowych.
Podsumowanie
Wykorzystywanie QEMU przez cyberprzestępców pokazuje, jak gwałtownie zaciera się granica między legalnym oprogramowaniem administracyjnym a narzędziem ofensywnym. Uruchomienie maszyny wirtualnej na skompromitowanym hoście daje napastnikom elastyczne środowisko do ukrywania aktywności, utrzymywania dostępu i przygotowywania kolejnych etapów ataku.
Dla obrońców oznacza to potrzebę szerszego spojrzenia na telemetrykę endpointów, usług systemowych i ruchu sieciowego. Nieautoryzowane użycie emulatorów, tuneli SSH, zadań harmonogramu i nietypowych obrazów dysków powinno być badane jako potencjalny sygnał poważnej kompromitacji.
