Hacker lợi dụng trình giả lập QEMU để triển khai ransomware và né tránh hệ thống phòng thủ

Hacker lợi dụng trình giả lập QEMU để triển khai ransomware và né tránh hệ thống phòng thủ

Theo báo cáo mới nhất từ Sophos, các tác nhân đe dọa đang lạm dụng trình giả lập máy ảo QEMU trong các chiến dịch phân phối mã độc tống tiền (ransomware) và công cụ truy cập từ xa. QEMU là một trình giả lập máy mã nguồn mở đa nền tảng, cho phép người dùng chạy máy ảo (guest VM) ngay trên hệ điều hành của máy chủ.

Trong những năm gần đây, các nhà nghiên cứu bảo mật đã ghi nhận nhiều chiến dịch độc hại sử dụng QEMU để thiết lập các kênh liên lạc bí mật và triển khai backdoor. Sophos cho biết họ đã quan sát thấy sự gia tăng đáng kể trong việc lạm dụng công cụ này kể từ cuối năm 2025.

Cloud and Virtualization Security

Chiến dịch PayoutsKing và lỗ hổng SolarWinds

Trong một chiến dịch đầu tiên được phát hiện vào tháng 11 năm 2025, được theo dõi dưới mã định danh STAC4713 và có liên quan đến ransomware PayoutsKing, các tác nhân đe dọa đã sử dụng trình giả lập máy như một backdoor SSH ngược để tải payload và thu thập thông tin xác thực.

Ban đầu, những kẻ tấn công nhắm vào các thiết bị SonicWall VPN bị lộ ra ngoài mà không bật xác thực đa yếu tố (MFA) để xâm nhập ban đầu. Tuy nhiên, sau đó chúng đã chuyển sang khai thác lỗ hổng thực thi mã từ xa (RCE) CVE-2025-26399 trong phần mềm SolarWinds Web Help Desk.

Các attacker đã tạo một tác vụ được lập lịch (scheduled task) để khởi chạy máy ảo QEMU với đặc quyền System và duy trì sự tồn tại trên hệ thống. Khi được khởi động, đĩa cứng ảo sẽ tạo ra một đường hầm SSH ngược, cung cấp cho hacker quyền truy cập trực tiếp vào máy ảo.

Sophos quan sát thấy rằng những kẻ tấn công đã tạo bản sao lưu Volume Shadow Copy, sao chép cơ sở dữ liệu Active Directory cũng như các tệp hive SAM và SYSTEM vào các thư mục tạm, đồng thời thực hiện khám phá chia sẻ mạng và truy cập tệp bằng các công cụ gốc của Windows.

Công ty an ninh mạng quy kết các cuộc tấn công này cho nhóm hacker Gold Encounter, một nhóm đóng cửa đang vận hành ransomware PayoutsKing. Băng nhóm này nổi tiếng với việc nhắm vào môi trường VMware và ESXi để mã hóa dữ liệu.

Chiến dịch khai thác CitrixBleed2

Vào tháng 2 năm 2026, Sophos đã quan sát thấy một chiến dịch thứ hai lạm dụng QEMU, được theo dõi với mã định danh STAC3725. Chiến dịch này dựa vào việc khai thác lỗ hổng CVE-2025-5777 (lỗi nổi tiếng CitrixBleed2) để xâm nhập ban đầu và sử dụng một client ScreenConnect độc hại để duy trì quyền truy cập.

Sau khi khai thác lỗ hổng NetScaler, những kẻ tấn công đã tạo một dịch vụ khởi động, cài đặt công cụ truy cập từ xa để lấy về QEMU và hình ảnh đĩa ảo, sau đó thực hiện thủ công các hành vi tấn công bên trong máy ảo.

Các hacker đã được nhìn thấy triển khai khoảng một chục công cụ và thư viện, thu thập thông tin xác thực, liệt kê tên người dùng Kerberos, thực hiện trinh sát Active Directory, chuẩn bị payload và exfiltrate (tải ra ngoài) dữ liệu.

"Hoạt động tiếp theo khác nhau giữa các vụ xâm nhập, cho thấy rằng các môi giới truy cập ban đầu (Initial Access Brokers) ban đầu đã xâm phạm môi trường của nạn nhân và sau đó bán quyền truy cập cho các tác nhân đe dọa khác," Sophos lưu ý.

Khuyến nghị bảo mật

Các tổ chức được khuyên nên tìm kiếm các bản cài đặt QEMU trái phép, các tác vụ lập lịch bất thường, quy lệ chuyển tiếp cổng (port forwarding) bất thường và giám sát các đường hầm SSH đi ra ngoài, vì những dấu hiệu này có thể tiết lộ việc hệ thống đã bị xâm phạm.

Việc sử dụng các công cụ hợp pháp như QEMU cho mục đích độc hại là một kỹ thuật tinh vi được gọi là "Living off the Land" (Sống dựa vào đất), cho phép hacker ẩn mình giữa các quy trình hợp pháp và khó bị phát hiện hơn bởi các giải pháp bảo mật truyền thống.