Payouts Kingランサムウェアは、リバースSSHバックドアとしてQEMUエミュレータを使用して、侵害されたシステム上で隠された仮想マシンを実行し、エンドポイントセキュリティを回避しています。
QEMUはオープンソースのCPUエミュレータおよびシステム仮想化ツールで、ホストコンピュータ上でオペレーティングシステムを仮想マシン(VM)として実行することができます。
ホスト上のセキュリティソリューションはVM内をスキャンできないため、攻撃者はペイロードを実行し、悪意のあるファイルを保存し、SSH経由で秘密のリモートアクセストンネルを作成できます。
これらの理由から、QEMUは過去の複数の脅威アクターの操作で悪用されており、3AMランサムウェアグループ、LoudMinerクリプトマイニング、および‘CRON#TRAP’ フィッシングが含まれます。
サイバーセキュリティ企業Sophosの研究者は、攻撃者がQEMUを自分たちの武器の一部として配展し、ドメイン認証情報を収集した2つのキャンペーンを記録しました。
Sophosが追跡しているSTAC4713というキャンペーンは、2025年11月に最初に観察され、Payouts Kingランサムウェア操作に関連していることが明らかになっています。
もう一つのSTAC3725として追跡されているものは、今年2月に発見され、NetScaler ADCおよびGatewayインスタンスのCitrixBleed 2(CVE‑2025‑5777)脆弱性を悪用しています。
Alpine Linux VMの実行
研究者によれば、STAC4713キャンペーンの背後にある脅威アクターは、GOLD ENCOUNTERの脅威グループに関連しており、VMwareおよびESXi環境のハイパーバイザーと暗号化ツールをターゲットにしていることで知られています。
Sophosによると、悪意のあるアクターは「TPMProfiler」という名前のスケジュール済みタスクを作成して、隠されたQEMU VMをSYSTEMとして起動します。
彼らはデータベースとDLLファイルに偽装された仮想ディスクファイルを使用し、リバースSSHトンネル経由で感染したホストへの秘密のアクセスを提供するためにポートフォワーディングを設定します。
VMはAdaptixC2、Chisel、BusyBox、Rcloneなどの攻撃ツールを含むAlpine Linuxバージョン3.22.0を実行します。
Sophosは述べていますが、初期アクセスは公開されたSonicWall VPN経由で達成され、SolarWinds Web Help Desk脆弱性CVE-2025-26399の悪用はより最近の攻撃で観察されました。
感染後の段階では、脅威アクターはVSS(vssuirun.exe)を使用してシャドウコピーを作成し、その後SMB経由のprintコマンドを使用してNTDS.dit、SAM、SYSTEMハイブをテンポラリディレクトリにコピーしました。
脅威アクターに属する最近観察されたインシデントは、他の初期アクセスベクトルに依存していました。研究者によると、2月の攻撃では、GOLD ENCOUNTERが公開されたCisco SSL VPNを使用し、3月には彼らはITスタッフになりすまし、Microsoft Teamsを通じて従業員をだまして、QuickAssistをダウンロード・インストールさせました。
「両方のインスタンスで、脅威アクターは正当なADNotificationManager.exeバイナリを使用してHavoc C2ペイロード(vcruntime140_1.dll)をサイドロードし、その後Rcloneを活用してリモートSFTPロケーションにデータを流出させました」 – Sophos
今週のZscalerレポートによると、Payouts Kingは、スパムボミング、Microsoft Teamsフィッシング、およびQuick Assist悪用のような同様の初期アクセス方法の使用に基づいて、元々のBlackBastaアフィリエイトに関連している可能性があります。
このストレインは、大規模な難読化およびアンチ分析メカニズムを採用し、スケジュール済みタスク経由で永続性を確立し、低レベルのシステムコールを使用してセキュリティツールを終了します。
Payouts King暗号化スキームは、より大きなファイルの断続的な暗号化を使用してAES-256(CTR)とRSA-4096を使用します。ドロップされた身代金要求メモは、被害者をダークウェブのリークサイトにポイントします。
Sophosが観察した2番目のキャンペーン(STAC3725)は2月以来活動しており、CitrixBleed 2脆弱性を悪用してターゲット環境への初期アクセスを取得しています。
NetScalerデバイスを侵害した後、攻撃者は「AppMgmt」という名前のサービスをインストールし、新しいローカル管理ユーザー(CtxAppVCOMService)を作成し、永続性のためにScreenConnectクライアントをインストールする悪意のある実行可能ファイルを含むZIPアーカイブを配展します。
ScreenConnectクライアントはリモートリレーサーバーに接続してシステム権限でセッションを確立し、その後、カスタム.qcow2ディスクイメージを使用して隠されたAlpine Linux VMを実行するQEMUパッケージをドロップして抽出します。
事前に構築されたツールキットを使用する代わりに、攻撃者はImpacket、KrbRelayx、Coercer、BloodHound.py、NetExec、Kerbrute、およびMetasploitなどのツールをVM内に手動でインストールおよびコンパイルします。
観察された活動には、認証情報の収集、Kerberosユーザー名列挙、Active Directoryの偵察、およびFTPサーバー経由の流出のためのデータのステージングが含まれます。
Sophosは、組織が不正なQEMUインストール、SYSTEM権限で実行されている疑わしいスケジュール済みタスク、異常なSSHポートフォワーディング、および非標準ポート上のアウトバウンドSSHトンネルを探すことを推奨しています。
