En los últimos meses los operadores detrás del grupo atribuido al ransomware conocido como Payouts King han elevado la sofisticación de sus intrusiones al emplear una técnica poco habitual: instalar un emulador de CPU y ejecutar máquinas virtuales ocultas dentro del sistema comprometido para evadir las defensas tradicionales. En lugar de dejar sus herramientas y túneles a la vista del antivirus del host, ejecutan un entorno completo —un pequeño Linux— dentro de QEMU y realizan desde ahí el trabajo sucio.
QEMU es un proyecto de código abierto diseñado para emular arquitecturas de CPU y crear máquinas virtuales sobre un equipo anfitrión. Su legítimo uso es enorme en desarrollo y pruebas, pero esa misma capacidad de encapsular un sistema operativo ha sido aprovechada por atacantes para crear cámaras de eco desde las que operar sin que el software de seguridad de la máquina anfitriona inspeccione el interior. Investigadores de Sophos documentaron campañas en las que QEMU actúa como puerta trasera inversa SSH: la VM inicia conexiones hacia servidores remotos y establece reenvíos de puertos que permiten acceso discreto al entorno comprometido.
Los detalles técnicos recopilados por Sophos describen cómo los atacantes despliegan una imagen de disco virtual (habitualmente un archivo .qcow2) camuflada como una base de datos o una biblioteca, y configuran una tarea programada con privilegios SYSTEM —con el nombre observado “TPMProfiler”— para arrancar el emulador en segundo plano. Dentro de esas máquinas virtuales se encuentran distribuciones ligeras como Alpine Linux y una colección de herramientas ofensivas: desde túneles y proxys como Chisel, hasta utilidades de exfiltración como Rclone y marcos de mando y control. Esto convierte al VM oculto en la verdadera superficie operativa del atacante.
Las campañas analizadas se agrupan en dos trazas que Sophos denomina STAC4713 y STAC3725. La primera, ligada al operativo Payouts King y observada inicialmente a finales de 2025, muestra una tendencia a atacar infraestructuras virtualizadas y a abusar de credenciales de dominio para moverse lateralmente. La segunda, activa desde febrero, aprovecha una vulnerabilidad conocida en NetScaler (identificada como CVE‑2025‑5777 y apodada “CitrixBleed 2”) para comprometer dispositivos Citrix ADC y Gateway. Para revisar los detalles técnicos de las vulnerabilidades, los avisos del NVD ofrecen descriptores públicos: CVE‑2025‑5777 y CVE‑2025‑26399.
Los vectores de acceso inicial varían: desde dispositivos VPN expuestos (SonicWall y Cisco SSL VPN fueron mencionados en investigaciones) hasta engaños por Microsoft Teams que inducen a personal de TI a instalar utilidades legítimas manipuladas, como QuickAssist. Una vez dentro, los atacantes han empleado técnicas de “sideloading” con binarios legítimos (por ejemplo, ADNotificationManager.exe) para cargar cargas maliciosas tipo Havoc C2, y han utilizado shadow copies y comandos SMB para recopilar bases de datos de Active Directory y hives locales como NTDS.dit y SAM.
Dentro de las VMs ocultas los actores no se limitan a usar kits precompilados: en algunos incidentes compilaron y desplegaron herramientas ad hoc —Impacket, Kerbrute, BloodHound.py, Metasploit, entre otras— con el propósito de recolectar credenciales, enumerar usuarios Kerberos, mapear relaciones en Active Directory y preparar volcado de datos que luego se suben a servidores FTP o SFTP. Al tomar estas acciones desde una VM emulada, evitan que la mayoría de los EDR y antivirus del host vean las acciones en tiempo real.
La parte final de la operación, en el caso de Payouts King, encaja con lo que se espera de un grupo de extorsión moderno: cifrado de los archivos con una combinación de algoritmos robustos (se ha reportado uso de AES‑256 en modo CTR junto con RSA‑4096, y métodos para saltarse el cifrado completo en ficheros muy grandes) y publicación de notas que redirigen a víctimas hacia portales de filtración en la web profunda. Informes recientes de Zscaler apuntan además a similitudes entre Payouts King y afiliados de antiguas familias de ransomware como BlackBasta, sobre todo en la fase de acceso inicial y en técnicas de evasión.
Ante este panorama, los equipos de seguridad tienen que ajustar sus señales de detección: no solo buscar malware conocido, sino también artefactos que indiquen la presencia de hipervisores o emuladores instalados en entornos donde no deberían existir; revisar tareas programadas con privilegios elevados como posibles autoarranques de VMs; monitorizar patrones atípicos de SSH saliente, reenvíos de puertos y conexiones que parecen venir de procesos “legítimos” que en realidad actúan como proxies. Sophos recomienda específicamente la búsqueda de instalaciones de QEMU no autorizadas y conexiones SSH salientes por puertos no estándar como indicadores de compromiso.
La conclusión para organizaciones y administradores es clara: las fronteras de la detección han cambiado. La contención ya no puede basarse únicamente en escanear procesos en el host, porque los atacantes han empezado a mover la operacionalidad al interior de máquinas virtuales invisibles. Esto exige combinar gestión de vulnerabilidades (parcheo de puertas de enlace y servicios expuestos), controles en la red que detecten túneles inusuales y una vigilancia reforzada sobre cuentas privilegiadas y tareas programadas. Para quien quiera profundizar en los hallazgos técnicos, la investigación de Sophos ofrece un análisis detallado y reproducible de cómo se usa QEMU en estas campañas: leer el informe de Sophos. Para contexto adicional sobre la amenaza y la evolución de Payouts King, el análisis de Zscaler resulta complementario: leer el informe de Zscaler. Finalmente, si su organización opera Citrix NetScaler o servicios VPN expuestos, conviene priorizar el repaso de parches y configuraciones recomendadas por los avisos públicos disponibles en el NVD.
En un mundo donde herramientas de virtualización de uso legítimo pueden volverse armas, la defensa requiere pensar como el atacante: asumir que puede existir un segundo sistema operativo corriendo dentro del primero y buscar señales fuera del ámbito clásico del endpoint. Solo así será posible detectar y cortar operaciones que intentan esconderse detrás de la apariencia de procesos y archivos inocuos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...