Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen
ID: 2244991
Der Einsatz versteckter virtueller Maschinen (VMs) ermöglicht Cyberkriminellen langfristigen Zugriff, Anmeldeinformationen-Diebstahl, Datenexfiltration und die Bereitstellung von PayoutsKing-Ransomware
STAC4713 ist kein Ransomware-as-a-Service-Modell
STAC4713 wurde erstmals im November 2025 beobachtet und ist eine finanziell motivierte Kampagne, die mit der PayoutsKing-Ransomware in Verbindung steht. Mehrere Vorfälle in dieser Kampagne beinhalteten QEMU als versteckte reverse SSH-Backdoor, um Angreifer-Tools bereitzustellen und Domänen-Anmeldeinformationen zu sammeln. Es ist sehr wahrscheinlich, dass die STAC4713-Kampagne mit Datendiebstahl und der Bereitstellung von PayoutsKing-Ransomware in Verbindung steht. Forscher der Sophos Counter Threat Uni (CTU) schreiben die PayoutsKing-Ransomware und die Erpressungsoperation, die Mitte 2025 aufkam, der GOLD ENCOUNTER-Bedrohungsgruppe zu. Die Betreiber von PayoutsKing haben explizit erklärt, dass sie nicht nach dem Ransomware-as-a-Service-Modell (RaaS) arbeiten oder mit Partnern zusammenarbeiten, was darauf hindeutet, dass taktische Unterschiede bei diesen beobachteten Vorfällen auf bewusste Entscheidungen der Angreifer und nicht auf separate Bedrohungsakteure zurückzuführen sind.
Ab Februar 2026 identifizierten Sophos-Analysten eine bemerkenswerte Veränderung in den Taktiken von GOLD ENCOUNTER, darunter verschiedene Vektoren für den Erstzugriff und den Einsatz von QEMU für versteckten Fernzugriff. In einem Vorfall im Februar 2026 erlangten die Bedrohungsakteure Zugriff über ein exponiertes Cisco SSL VPN; in einem Fall im März 2026 zielten sie auf Mitarbeiter über E-Mail-Spam ab und gaben sich über Microsoft Teams als IT-Support aus.
STAC3725 mit manueller Komponente
Eine weitere Kampagne, STAC3725, wurde erstmals im Februar 2026 beobachtet und nutzt die CitrixBleed2-Schwachstelle, um Zugriff zu erlangen, und Malware zu installieren. Die Bedrohungsakteure stellen eine QEMU-VM bereit, um zusätzliche Tools für Aufklärung und Anmeldeinformationen-Diebstahl zu installieren.
Anstatt ein vorgefertigtes Toolkit bereitzustellen, installierten und kompilierten die Angreifer ihr vollständiges Angriffspaket manuell innerhalb der VM. Beobachtete böswillige Aktivitäten umfassten das Herunterladen von Anmeldeinformationen, das Aufzählen von Kerberos-Benutzernamen, das Durchforsten des Active Directory-Aufklärung und das Ausführen von FTP-Servern für die Bereitstellung von Nutzlasten oder für die Datenexfiltration.
Die Folgeaktivitäten variierten je nach Eindringen, was darauf hindeutet, dass ursprüngliche Zugriffsbroker die Umgebungen der Opfer zunächst kompromittierten und den Zugriff dann an andere Bedrohungsakteure verkauften. In einem Vorfall hielten die Bedrohungsakteure den Zugriff auf die Umgebung aufrecht, in einem anderen Fall nutzten die Bedrohungsakteure NetBird, um verschlüsselte Peer-to-Peer-Verbindungen herzustellen, Browsersitzungs-Cookies zu extrahieren und ein PowerShell-Skript auszuführen, um Microsoft Defender zu deaktivieren.
Empfehlungen, Schutzmaßnahmen und Indikatoren
Der Missbrauch von QEMU stellt einen wachsenden Trend dar, bei dem Bedrohungsakteure legitime Virtualisierungssoftware nutzen, um böswillige Aktionen vor dem Endpunktschutz und der Audit-Protokollierung zu verbergen. Eine verborgene VM mit einem vorinstallierten oder kompilierten Angriffstoolkit kann einem Bedrohungsakteur Zugriff auf ein Netzwerk gewähren und die Möglichkeit bieten, Malware bereitzustellen, Anmeldeinformationen zu sammeln und sich (lateral) im Netzwerk zu bewegen, ohne Spuren auf dem Host zu hinterlassen.
Organisationen sollten ihre Umgebungen auf nicht autorisierte QEMU-Installationen, unerwartete geplante Aufgaben (insbesondere solche, die unter einem SYSTEM-Konto ausgeführt werden) und ungewöhnliche Port-Weiterleitungsregeln, die auf Port 22 abzielen, überprüfen. Sicherheitsexperten sollten zudem ausgehende SSH-Tunnel überwachen, die von nicht standardmäßigen Ports ausgehen, und virtuelle Festplattenabbilder mit ungewöhnlichen Dateierweiterungen (z. B. .db, .dll, .qcow2) markieren.
Weitere technisch ausformulierte Schutzmaßnahmen haben die Experten von Sophos im neuen englischsprachigen Blog-Text „QEMU abused to evade detection and enable ransomware delivery“ zusammengestellt.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 16.04.2026 - 15:06 Uhr
Sprache: Deutsch
News-ID 2244991
Anzahl Zeichen: 5362
Kontakt-Informationen:
Ansprechpartner: Ariane WendtThilo ChristArno LüchtUlrike Masztalerz
Stadt:
Wiesbaden
Telefon: +49 (172) 4536839+49 (8081) 954617+49 (8081) 95461
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 241 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
„Fake it ‘til you make it“ ...
Die nordkoreanische Hackergruppe NICKEL ALLEY setzt ihre perfiden „Contagious Interview“-Kampagnen fort: Mit gefälschten LinkedIn-Unternehmensprofilen, fingierten Jobangeboten und manipulierten GitHub-Repositorien lockt sie gezielt Softwareentwickler in die Falle. Das Ziel: Die Installation des
Weitere Mitteilungen von Sophos Technology GmbH
?Licht unter Wasser präzise messen: HOBO MX2502 vereint PAR, Temperatur und Lage in einem System ...
Mit dem neuen MX2502 stellt BMC Solutions einen Datenlogger zur präzisen Erfassung photosynthetisch aktiver Strahlung (PAR) für die Anwendung unterwasser vor. Das System erweitert die HOBO-MX-Serie um eine kompakte Lösung für aquatische Anwendungen, bei denen Lichtverfügbarkeit, Temperatur un
InboxShield24.com von KINGNETZ CYBERSECURITY stoppt gefährliche E-Mails ...
InboxShield24.com von KINGNETZ CYBERSECURITY stoppt gefährliche E-Mails, bevor sie gelesen werden - ohne Installation und ohne Vertrag. Eine einzige E-Mail kann ausreichen, um Schaden anzurichten. Genau hier setzt eine neue Lösung von KINGNETZ CYBERSECURITY an: InboxShield24.com erhöht stark d
Jedes Büro wird zum EMV-Labor: Innovative Abschirmzelte für Pre-Compliance und Präzisionsmessungen ...
Telemeter Electronic präsentiert eine neue Generation hochperformanter EMV-Abschirmzelte. Die mobilen Lösungen ermöglichen es Unternehmen, EMV-Messungen direkt am Entwicklungsarbeitsplatz durchzuführen und machen den kostspieligen Transport von Prototypen in externe Testlabore weitestgehend übe
Sicherheitsbewusstsein steigern: HBC-radiomatic nutzt Security Awareness Trainings von G DATA CyberDefense ...
Angesichts zunehmender Cyberbedrohungen hat HBC-radiomatic Security Awareness systematisch in seine Weiterbildungsstrategie integriert. Das Unternehmen nutzt dafür Security Awareness Trainings von G DATA CyberDefense, die auf praxisnahen Szenarien und einem mehrstufigen Lernkonzept basieren. Heute
