In den letzten Monaten haben die Betreiber hinter der Gruppe, die auf die Ransomware namens Payouts King zurückzuführen ist, die Raffinesse ihrer Intrusionen durch eine ungewöhnliche Technik erhöht: Installation eines CPU-Emulators und laufende versteckte virtuelle Maschinen innerhalb des kompromittierten Systems, um traditionelle Verteidigungen zu umgehen. Anstatt Ihre Werkzeuge und Tunnel in Sicht der Host-Antivirus, führen sie eine komplette Umgebung - ein kleines Linux - innerhalb der QEMU und führen schmutzige Arbeit von dort.
QEMU ist ein Open Source-Projekt, um CPU-Architekturen zu emulieren und virtuelle Maschinen in einem Host-Team zu erstellen. Seine legitime Verwendung ist riesig in der Entwicklung und Prüfung, aber die gleiche Fähigkeit, ein Betriebssystem zu verkapseln, wurde von Angreifern verwendet, um Echo-Kameras zu erstellen, von denen zu bedienen, ohne die Sicherheitssoftware der Host-Maschine inspizieren das Innere. Forschung Sophos dokumentierte Kampagnen, in denen QEMU als SSH-Rückwärtstor fungiert: Die VM startet Verbindungen zu Remote-Servern und stellt Port-Reshipments fest, die einen diskreten Zugriff auf die gefährdete Umgebung ermöglichen.
Die von Sophos gesammelten technischen Details beschreiben, wie Angreifer ein virtuelles Festplattenbild (in der Regel eine .qCow2-Datei) als Datenbank oder Bibliothek anzeigen und eine geplante Aufgabe mit SYSTEM Privilegien - mit dem Namen "TPMProfiler" - einrichten, um den Emulator im Hintergrund zu booten. Diese virtuellen Maschinen umfassen Lichtverteilungen wie Alpine Linux und eine Sammlung von Offensive-Tools: von Tunneln und Proxys wie Chisel bis hin zu Exfiltrationsprogramme wie Rclone und Steuerungs- und Kontrollrahmen. Das macht die versteckte VM zur wahren Operationsfläche des Angreifers.
Die analysierten Kampagnen werden in zwei Tracks zusammengefasst, die Sophos STAC4713 und STAC3725 nennt. Der erste, im Zusammenhang mit dem Payouts King-Betrieb, der erst Ende 2025 beobachtet wurde, zeigt eine Tendenz, virtualisierte Infrastruktur anzugreifen und Domain-Anmeldedaten zu missbrauchen, um sich seitlich zu bewegen. Der zweite, seit Februar aktiv, nutzt eine in NetScaler bekannte Schwachstelle (identifiziert als CVE-2025-5777 und nicknamed "CitrixBleed 2"), um Citrix ADC- und Gateway-Geräte zu kompromittieren. Um die technischen Details der Schwachstellen zu überprüfen, stellen NVD-Mitteilungen öffentliche Deskriptoren zur Verfügung: CVE-2025-5777 und CVE-2025-26399.
Die anfänglichen Access-Vektoren variieren: von exponierten VPN-Geräten (SonicWall und Cisco SSL VPN wurden in der Forschung erwähnt) bis hin zur Täuschung von Microsoft Teams, die IT-Personal dazu veranlassen, legitime manipulierte Dienstprogramme wie QuickAssist zu installieren. Einmal im Inneren, die Angreifer haben "sideloading" Techniken mit legitimen Binaries (z.B. ADNotificationManager.exe) verwendet, um Havoc C2-Typ schädliche Lasten zu laden, und haben Shadow Kopien und SMB Befehle verwendet, um Active Directory Datenbanken und lokale Hives wie NTDS.dit und SAM zu sammeln.
Innerhalb der versteckten VMs verwenden die Akteure nicht nur vorkompilierte Kits: In einigen Zwischenfällen kompilierte und implementierte Ad-hoc-Tools - Impack, Kerbrute, BloodHound.py, Metasploit, unter anderem - zum Zwecke der Erfassung von Anmeldeinformationen, Auflistung von Kerberos-Nutzern, Kartbeziehungen in Active Directory und Vorbereitung von Daten Dumping, die dann auf FTP oder SFTP-Server hochgeladen wird. Durch die Einnahme dieser Aktionen von einem emulierten VM verhindern sie, dass die meisten Host DDR und Antivirus die Aktionen in Echtzeit sehen.
Der letzte Teil der Operation, im Fall von Payouts King, passt zu dem, was von einer modernen Erpressungsgruppe erwartet wird: Verschlüsselung der Dateien mit einer Kombination von robusten Algorithmen (Verwendung von AES-256 im CTR-Modus wurde zusammen mit RSA-4096 gemeldet und Methoden, um die vollständige Verschlüsselung in sehr großen Dateien zu überspringen) und Veröffentlichung von Notizen, die Opfer zu Filtrationsportalen im tiefen umleiten. Aktuelle Berichte der Zscaler Sie zeigen auch Ähnlichkeiten zwischen Payouts King und Affiliate von ehemaligen Ransomware-Familien wie BlackBasta, vor allem in der ersten Zugriffsphase und in der Vermeidung Techniken.
Angesichts dieses Szenarios müssen Sicherheitsteams ihre Detektionssignale anpassen: nicht nur nach bekannten Malware suchen, sondern auch Artefakte, die das Vorhandensein von Hypervisoren oder Emulatoren angeben, die in Umgebungen installiert sind, in denen sie nicht existieren sollten; programmierte Aufgaben mit hohen Privilegien wie mögliche VMs Selbststarter überprüfen; atypische Muster von ausgehenden SSH überwachen, Port Reshipments und Verbindungen, die von "legitimate" Prozessen kommen scheinen. Sophos empfiehlt speziell die Suche nach unbefugten QEMU-Einrichtungen und ausgehenden SSH-Verbindungen durch nicht standardisierte Ports als Verpflichtungsindikatoren.
Die Schlussfolgerung für Organisationen und Manager ist klar: die Nachweisgrenzen haben sich geändert. Die Aufnahme kann nicht mehr allein auf Scanvorgängen im Host basieren, weil Angreifer begonnen haben, die Betriebsfähigkeit in unsichtbare virtuelle Maschinen zu bewegen. Dies erfordert eine Kombination aus Sicherheitsmanagement (Link-Türparkplätze und exponierte Dienste), Netzsteuerungen, die ungewöhnliche Tunnel erkennen und die Überwachung privilegierter Konten und programmierter Aufgaben verbessern. Für diejenigen, die technische Erkenntnisse vertiefen möchten, bietet Sophos's Forschung eine detaillierte und reproduzierbare Analyse der Verwendung von QEMU in diesen Kampagnen: Lesen Sie den Sophos-Bericht. Für zusätzlichen Kontext zur Bedrohung und Evolution von Payouts King ist die Analyse von Zscaler komplementär: den Zscaler-Bericht lesen. Wenn Ihre Organisation Citrix NetScaler oder VPN-Dienste durchführt, sollte die Überprüfung von Patches und Konfigurationen priorisiert werden, die von den im NVD verfügbaren öffentlichen Mitteilungen empfohlen werden.
In einer Welt, in der Virtualisierungstools legitimen Gebrauchs Waffen werden können, erfordert Verteidigung das Denken als Angreifer: vorausgesetzt, dass es ein zweites Betriebssystem innerhalb des ersten und nach Signalen außerhalb des klassischen Endpoint-Feldes laufen kann. Nur auf diese Weise wird es möglich sein, Operationen zu erkennen und zu schneiden, die versuchen, sich hinter dem Auftreten harmloser Prozesse und Dateien zu verstecken.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...