Au cours des derniers mois, les opérateurs derrière le groupe attribué au Ransomware connu sous le nom de Roi Payouts ont augmenté la sophistication de leurs intrusions en utilisant une technique inhabituelle: installer un émulateur CPU et exécuter des machines virtuelles cachées dans le système compromis pour échapper aux défenses traditionnelles. Au lieu de laisser vos outils et tunnels en vue de l'antivirus hôte, ils exécutent un environnement complet - un petit Linux - à l'intérieur de QEMU et effectuent un travail sale à partir de là.
QEMU est un projet open source conçu pour imiter les architectures CPU et créer des machines virtuelles sur une équipe hôte. Son utilisation légitime est énorme dans le développement et les essais, mais cette même capacité d'encapsuler un système d'exploitation a été utilisée par les attaquants pour créer des caméras d'écho à partir desquelles fonctionner sans le logiciel de sécurité de la machine hôte inspectant l'intérieur. Recherche Sophos campagnes documentées dans lesquelles QEMU agit comme la porte arrière de la SSH : la VM commence les connexions aux serveurs distants et établit des réexpéditions de port qui permettent un accès discret à l'environnement compromis.
Les détails techniques recueillis par Sophos décrivent comment les attaquants affichent une image disque virtuelle (généralement un fichier .qCow2) camouflée comme base de données ou bibliothèque, et mettent en place une tâche programmée avec des privilèges SYSTEM - avec le nom "TPMProfiler" - pour démarrer l'émulateur en arrière-plan. Ces machines virtuelles comprennent des distributions lumineuses telles que Alpine Linux et une collection d'outils offensifs : des tunnels et proxys comme Chisel aux utilitaires d'exfiltration tels que Rclone et cadres de contrôle et de contrôle. Cela fait de la VM cachée la vraie surface opérationnelle de l'agresseur.
Les campagnes analysées sont regroupées en deux pistes que Sophos appelle STAC4713 et STAC3725. Le premier, lié à l'opération Payouts King et initialement observé à la fin de 2025, montre une tendance à attaquer l'infrastructure virtualisée et à abuser des titres de domaine pour se déplacer latéralement. Le second, actif depuis février, profite d'une vulnérabilité connue dans NetScaler (identifiée CVE-2025-5777 et surnommée "CitrixBleed 2") pour compromettre les appareils Citrix ADC et Gateway. Pour examiner les détails techniques des vulnérabilités, les avis de la NVD fournissent des descripteurs publics : CVE-2025-5777 et CVE-2025-26399.
Les vecteurs d'accès initiaux varient : des périphériques VPN exposés (SonicWall et Cisco SSL VPN ont été mentionnés dans la recherche) à la tromperie des équipes Microsoft qui incitent le personnel informatique à installer des utilitaires manipulés légitimes, comme QuickAssist. Une fois à l'intérieur, les attaquants ont utilisé des techniques de "sideloading" avec des binaires légitimes (par exemple, ADNotificationManager.exe) pour charger des charges malveillantes de type Havoc C2, et ont utilisé des copies d'ombre et des commandes SMB pour collecter des bases de données Active Directory et des ruches locales comme NTDS.dit et SAM.
Au sein des VM cachées, les acteurs n'utilisent pas seulement des kits précompilés : dans certains incidents, ils ont compilé et déployé des outils ad hoc - Impack, Kerbrute, BloodHound.py, Metasploit, entre autres - pour collecter des informations, lister les utilisateurs de Kerberos, cartographier les relations dans Active Directory et préparer le dumping de données qui est ensuite téléchargé sur les serveurs FTP ou SFTP. En prenant ces actions à partir d'un VM émulé, ils empêchent la plupart des serveurs DDR et antivirus de voir les actions en temps réel.
La dernière partie de l'opération, dans le cas de Payouts King, correspond à ce que l'on attend d'un groupe d'extorsion moderne : le cryptage des fichiers avec une combinaison d'algorithmes robustes (l'utilisation d'AES-256 en mode CTR a été signalée avec RSA-4096, et les méthodes pour sauter le cryptage complet dans de très grands fichiers) et la publication de notes qui redirigent les victimes vers des portails de filtration sur le Web profond. Rapports récents Zscaler Ils mettent également en évidence des similitudes entre Payouts King et les filiales d'anciennes familles Ransomware telles que BlackBasta, en particulier dans la phase d'accès initial et dans les techniques d'évitement.
Compte tenu de ce scénario, les équipes de sécurité doivent ajuster leurs signaux de détection: non seulement chercher des logiciels malveillants connus, mais aussi des artefacts qui indiquent la présence d'hyperviseurs ou d'émulateurs installés dans des environnements où ils ne devraient pas exister; examiner les tâches programmées avec des privilèges élevés tels que les auto-démarrages VM possibles; surveiller les modèles atypiques de SSH sortants, les réexpéditions de ports et les connexions qui semblent provenir de processus « légitimes » qui agissent en fait comme des mandataires. Sophos recommande spécifiquement la recherche d'installations QEMU non autorisées et de connexions SSH sortantes par des ports non standard comme indicateurs d'engagement.
La conclusion pour les organisations et les gestionnaires est claire : les limites de la détection ont changé. Le confinement ne peut plus être basé uniquement sur des processus de numérisation dans l'hôte, parce que les attaquants ont commencé à déplacer l'opérationnalité dans des machines virtuelles invisibles. Pour ce faire, il faut combiner la gestion de la vulnérabilité (parking de porte de liaison et services exposés), les contrôles du réseau qui détectent les tunnels inhabituels et une surveillance accrue des comptes privilégiés et des tâches programmées. Pour ceux qui veulent approfondir les résultats techniques, la recherche de Sophos offre une analyse détaillée et reproductible de la façon dont l'UEQE est utilisée dans ces campagnes : lire le rapport Sophos. Pour plus de contexte sur la menace et l'évolution de Payouts King, l'analyse de Zscaler est complémentaire: lire le rapport Zscaler. Enfin, si votre organisation exploite les services Citrix NetScaler ou VPN exposés, il convient de prioriser l'examen des correctifs et des configurations recommandés par les avis publics disponibles dans le NVD.
Dans un monde où les outils de virtualisation d'usage légitime peuvent devenir des armes, la défense nécessite de penser comme l'attaquant: en supposant qu'il peut y avoir un second système d'exploitation fonctionnant dans le premier et à la recherche de signaux en dehors du champ de fin de gamme classique. Ce n'est qu'ainsi qu'il sera possible de détecter et de couper les opérations qui tentent de se cacher derrière l'apparence de processus et de fichiers inoffensifs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...