Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli hacker criminali, stanno sfruttando QEMU per eseguire i loro arsenali dentro macchine virtuali nascoste, rendendo gli attacchi quasi invisibili ai sistemi di sicurezza. Il gruppo STAC4713 è stato osservato utilizzare tecniche avanzate di evasione e movimento laterale. Questo approccio permette accessi difficili da rilevare, aumentando il rischio per infrastrutture e reti virtualizzate.
I criminali informatici, stanno nascondendo sempre più spesso le loro attività malevole in luoghi dove i sistemi di sicurezza sono in gran parte invisibili.
In una nuova analisi svolta dagli specialisti di Sophos, viene rilevato che gli aggressori hanno iniziato a utilizzare sempre più spesso QEMU. Si tratta di un strumento di virtualizzazione legittimo che permette di eseguire un ambiente virtuale su una macchina infetta. In tal modo, il software malevolo diventa difficilmente rilevabile dalle soluzioni di sicurezza, portando i malintenzionati a condurre infiltrazioni furtive, rubare dati e sviluppare attacchi di tipo ransomware.
Secondo Sophos, dalla fine del 2025 i ricercatori hanno identificato due campagne distinte in cui QEMU è apparso come un elemento durante la fase di attacco. In una di queste, il threat actors STAC4713, ha implementato una macchina virtuale nascosta tramite l’attività TPMProfiler, la quale è stata eseguita con privilegi di sistema.
In questo ambiente è stato implementato un insieme di strumenti per l’accesso remoto, il furto di credenziali e l’esfiltrazione delle informazioni. Per mascherare l’attacco, l’immagine del disco virtuale è stata camuffata da file di database o da DLL, e la comunicazione con l’infrastruttura esterna è stata stabilita tramite tunnel SSH inversi.
Sophos collega il gruppo STAC4713 alla diffusione del ransomware PayoutsKing. Gli analisti ritengono che l’operazione possa essere collegata al gruppo GOLD ENCOUNTER, specializzato in attacchi alle infrastrutture virtualizzate, tra cui VMware ed ESXi.
Nel corso delle indagini, gli specialisti hanno anche notato un cambiamento nelle tattiche. Mentre in precedenza gli aggressori avevano utilizzato VPN scarsamente protette e i bug di sicurezza di SolarWinds Web Help Desk, a febbraio e marzo 2026 sono emersi incidenti che hanno coinvolto le VPN SSL di Cisco, nonché email e inganni ai danni dei dipendenti tramite Microsoft Teams, seguiti dal download di QuickAssist.
La seconda campagna, è iniziata a febbraio 2026 ed ha sfruttato la vulnerabilità CitrixBleed2 in NetScaler. Dopo l’attacco, gli aggressori hanno installato un client ScreenConnect dannoso, creato con un nuovo account di amministrazione locale e quindi avviato QEMU con un’immagine di Alpine Linux.
A differenza del primo schema, i criminali in questo caso non hanno portato un kit di strumenti già pronto, ma lo hanno assemblato direttamente all’interno della macchina virtuale. Impacket, BloodHound, Kerbrute, Meta Sploit e altri strumenti sono stati utilizzati per la ricognizione di Active Directory, l’individuazione dei nomi Kerberos, il furto di dati e la preparazione per ulteriori azioni.
Il pericolo di questo schema è che l’attività dannosa viene relegata alla macchina virtuale, non lasciando praticamente alcuna traccia sul sistema host. Questo approccio altamente invisibile, consente agli aggressori di mantenere un accesso nascosto a lungo termine, facilita gli spostamenti laterali all’interno della rete e permette loro di preparare furtivamente un attacco ransomware.
Sophos consiglia di eseguire una scansione dell’ambiente per rilevare installazioni QEMU non autorizzate, attività sospette in esecuzione come SYSTEM, port forwarding non standard per SSH e file di dischi virtuali insoliti.
