Nos últimos meses, os operadores por trás do grupo atribuído ao ransomware conhecido como Payouts King têm elevado a sofisticação de suas intrusões ao empregar uma técnica pouco habitual: instalar um emulador de CPU e executar máquinas virtuais ocultas dentro do sistema comprometido para escapar às defesas tradicionais. Em vez de deixar suas ferramentas e túneis à vista do antivírus do host, executam um ambiente completo — um pequeno Linux — dentro de QEMU e realizam do trabalho sujo.
QEMU é um projeto de código aberto projetado para emular arquiteturas de CPU e criar máquinas virtuais sobre um computador anfitrião. Seu uso legítimo é enorme em desenvolvimento e testes, mas essa mesma capacidade de encapsular um sistema operacional foi aproveitada por atacantes para criar câmeras de eco desde as quais operar sem que o software de segurança da máquina anfitriã inspeccione o interior. Pesquisadores de Sophos documentaram campanhas em que QEMU atua como porta traseira inversa SSH: a VM inicia conexões para servidores remotos e estabelece reenvios de portos que permitem acesso discreto ao ambiente comprometido.
Os detalhes técnicos coletados por Sophos descrevem como os atacantes exibem uma imagem de disco virtual (normalmente um arquivo .qcow2) camuflada como uma base de dados ou uma biblioteca, e configuram uma tarefa programada com privilégios SYSTEM – com o nome observado “TPMProfiler” – para arrancar o emulador em segundo plano. Dentro dessas máquinas virtuais encontram-se distribuições leves como Alpine Linux e uma coleção de ferramentas ofensivas: desde túneis e proxys como Chisel, até utilitários de exfiltração como Rclone e marcos de comando e controle. Isto torna o VM escondido na verdadeira superfície operacional do atacante.
As campanhas analisadas são agrupadas em dois traços que Sophos denomina STAC4713 e STAC3725. A primeira, ligada ao operacional Payouts King e inicialmente observada no final de 2025, mostra uma tendência para atacar infra-estruturas virtualizadas e abusar de credenciais de domínio para se mover lateralmente. A segunda, ativa desde fevereiro, aproveita uma vulnerabilidade conhecida em NetScaler (identificada como CVE‐2025‐5777 e apodada “CitrixBleed 2”) para comprometer dispositivos Citrix ADC e Gateway. Para revisar os detalhes técnicos das vulnerabilidades, os avisos da NVD oferecem descritores públicos: CVE‐2025‐5777 e CVE‐2025‐26399.
Os vetores de acesso inicial variam: desde dispositivos VPN expostos (SonicWall e Cisco SSL VPN foram mencionados em pesquisas) até enganos por Microsoft Teams que induzem pessoal de TI a instalar utilitários legítimos manipulados, como QuickAssist. Uma vez dentro, os atacantes usaram técnicas de “sideloading” com binários legítimos (por exemplo, DNAotificationManager.exe) para carregar cargas maliciosas tipo Havoc C2, e utilizaram shadow copies e comandos SMB para coletar bases de dados de Active Directory e hives locais como NTDS.dit e SAM.
Dentro das VMs escondidas, os atores não se limitam a usar kits pré-compilados: em alguns incidentes eles compilaram e implantaram ferramentas ad hoc -Impacket, Kerbrute, BloodHound.py, Metasploit, entre outras— com o propósito de coletar credenciais, enumerar usuários Kerberos, mapear relações no Active Directory e preparar dados que depois se somam a servidores FTP ou SFTP. Ao tomar estas ações de uma VM emulada, evitam que a maioria dos EDR e antivírus do host vejam as ações em tempo real.
A parte final da operação, no caso de Payouts King, se encaixa com o que se espera de um grupo de extorsão moderno: encriptação dos arquivos com uma combinação de algoritmos robustos (a utilização de AES-256 em modo CTR junto com o RSA-4096, e métodos para saltar a cifra completa em arquivos muito grandes) e publicação de notas que redireccionem vítimas para portais de filtração na web profunda. Relatórios recentes Zscaler Além disso, apontam semelhanças entre Payouts King e afiliados de antigas famílias de ransomware como Black Basta, sobretudo na fase de acesso inicial e em técnicas de evasão.
Diante desse panorama, as equipes de segurança têm que ajustar seus sinais de detecção: não só buscar malware conhecido, mas também artefatos que indiquem a presença de hipervisores ou emuladores instalados em ambientes onde não deveriam existir; revisar tarefas agendadas com privilégios elevados como possíveis auto-arranques de VMs; monitorar padrões atípicos de SSH saliente, reenvios de portos e conexões que parecem vir de processos “legítimos” que realmente atuam como proxies. Sophos recomenda especificamente a busca por instalações de QEMU não autorizadas e conexões SSH salientes por portos não-padrão como indicadores de compromisso.
A conclusão para organizações e administradores é clara: as fronteiras da detecção mudaram. A contenção já não pode basear-se apenas em digitalizar processos no host, porque os atacantes começaram a mover a operacionalidade para o interior de máquinas virtuais invisíveis. Isso exige combinar gestão de vulnerabilidades (parcheio de portas de ligação e serviços expostos), controles na rede que detectem túneis invulgares e vigilância reforçada sobre contas privilegiadas e tarefas programadas. Para quem quiser aprofundar os achados técnicos, a pesquisa de Sophos oferece uma análise detalhada e reprodutível de como QEMU é usado nestas campanhas: ler o relatório do Sophos. Para contexto adicional sobre a ameaça e a evolução de Payouts King, a análise de Zscaler é complementar: ler o relatório Zscaler. Finalmente, se a sua organização opera a Citrix NetScaler ou os serviços VPN expostos, convém priorizar a revisão de patches e configurações recomendadas pelos avisos públicos disponíveis no NVD.
Num mundo onde ferramentas de virtualização de uso legítimo podem se tornar armas, a defesa requer pensar como o atacante: assumir que pode existir um segundo sistema operacional correndo dentro do primeiro e procurar sinais fora do âmbito clássico do endpoint. Só assim será possível detectar e cortar operações que tentam esconder-se atrás da aparência de processos e arquivos inocuos.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...