ランサムウェア組織は、悪意のあるアーティファクトをオペレーティングシステムの隣接部分だけではなく、そのアーキテクチャフレームワーク内に直接隠蔽する秘密の行為をますます採用している。Payouts Kingのオペレータは、QEMUを秘密のアクセス通路およびコンプロマイズされたハードウェア上で仮想マシンを起動するためのステージングプラットフォームとして使用することを開始した。この方法論はホストベースのセキュリティソリューションにとって極めて厄介であることが判明している。アンチウイルス、EDR、およびその他のテレメトリツールがプライマリシステムを綿密に監視している一方で、ゲスト仮想環境内で発生している機構に気づかないままである。
アンチウイルスとマルウェア
正当な文脈では、QEMUはプロセッサエミュレーションおよびシステム仮想化に使用され、多様なオペレーティングシステムを単一の物理ホスト上で仮想マシンとして実行することを可能にしている。敵対者にとって、このパラダイムは多面的な利点を提供する。仮想マシンはマルウェアのセキュアなリポジトリ、追加ペイロード用のステージングエリア、偵察ユーティリティのデプロイメントハブ、およびリモートアクセス用の難読化されたSSHトンネルを確立するための基盤として機能する。その結果、QEMUは3AMランサムウェア集団、LoudMiner暗号化マイニング作戦、およびCRON#TRAPフィッシングイニシアティブに起因するキャンペーンで警告すべき頻度で浮上している。
Sophosの研究者は、QEMUがネットワークパーシスタンスおよび認証情報ハーベスティングの要となった2つのそのようなキャンペーンを綿密に分析した。2025年11月に出現し、STAC4713と指定された最初の操作は、Payouts Kingランサムウェアにリンクされている。第2のSTAC3725は2026年2月に浮上し、NetScaler ADCおよびGatewayアプライアンス内のCitrixBleed 2脆弱性(CVE-2025-5777)を利用して初期アクセスを取得した。
STAC4713の場合、調査者はオペレータをハイパーバイザーをターゲットにしてVMwareおよびESXi環境内にランサムウェアをデプロイすることで悪名高いGOLD ENCOUNTERの脅威アクターと相関させている。Sophosによれば、敵対者はTPMProfilerというタイトルのスケジュール済みタスクを実装して、SYSTEM権限を持つ隠蔽されたQEMU仮想マシンを起動する。精査を回避するために、仮想ディスクは無害なデータベースファイルまたはDLLライブラリに偽装される。ポートフォワーディングはその後、リバースSSHトンネル経由でコンプロマイズされたホストへのこっそりしたアクセスを容易にするために構成される。
仮想環境はAlpine Linux 3.22.0上で動作し、横方向の移動に不可欠なユーティリティスイートが事前に構成されている。このアーセナルはAdaptixC2、Chisel、BusyBox、およびRcloneを含み、コマンドアンドコントロールチャネルの維持、接続プロキシング、および機密テレメトリの流出を可能にしている。
STAC4713の初期アクセスベクトルは時間とともに進化した。初期のバージョンはインターネット向きのSonicWall VPNデバイスをターゲットにしていたが、より最近の侵入はSolarWinds Web Help DeskのCVE-2025-26399を悪用した。侵害に続いて、オペレータはWindows基盤から機密データのハーベスティングへ転換した。vssuirun.exeを使用してVolume Shadow Copy Serviceを利用することにより、彼らはシャドウコピーを作成してNTDS.ditファイルおよびSAMとSYSTEMレジストリハイブをSMB経由で抽出し、それによってオフライン認証情報抽出およびActive Directory構造分析を容易にした。
GOLD ENCOUNTERに起因するより最近のインシデントでは、斬新なエントリ方法が浮上している。2月は外部Cisco SSL VPNの悪用を見たが、3月はソーシャルエンジニアリングへのシフトを示した。Microsoft Teamsの技術サポートに偽装して、攻撃者は従業員にQuick Assistをインストールするよう説得した。実行されると、彼らはADNotificationManager.exeという正当なバイナリを利用して、vcruntime140_1.dllに偽装したHavoc C2ペイロードをサイドロードし、最終的にRclone経由でリモートSFTPサーバにデータを流出させた。
Zscalerからの補完的な調査結果は、Payouts Kingが初期アクセス戦術における類似性を引用して、BlackBasta組織の元メンバーで構成されている可能性があることを示唆している。具体的には、スパムボミング、Teamsベースのフィッシング、およびQuick Assistの悪用である。技術的には、ファミリーは積極的に構築されており、重い難読化、分析対策トリガー、および低レベルシステムコール経由のセキュリティソフトウェアの無効化を特徴としている。
Payouts Kingの暗号化ロジックは洗練されたハイブリッドで、データ暗号化のためにCTRモードのAES-256を使用し、キーを保護するためにRSA-4096を使用している。より大きなファイルの場合、破壊的な影響を損なうことなく速度を最大化するために特定のフラグメントをターゲットにした間欠的な暗号化を採用している。身代金メモは被害者をダークウェブリークサイトに指示し、そこでは公開データ開示の脅威が恐喝の強力なレバーとして機能する。
一方、STAC3725キャンペーンは異なるアーキテクチャを採用している。CitrixBleed 2の悪用に続いて、敵対者はAppMgmtサービスを確立し、CtxAppVCOMServiceというタイトルのローカル管理者アカウントを作成する悪意のある実行ファイルを含むZIPアーカイブをデプロイする。パーシスタンスはScreenConnectクライアント経由で保護され、システム権限でセッションを確立する。この通路を通じて、QEMUパッケージはcustom.qcow2ディスクイメージ経由でAlpine Linux VMを起動するためにデプロイされる。特に注目すべきことに、このキャンペーンでは、オペレータはImpacket、KrbRelayx、Coercer、BloodHound.py、NetExec、Kerbrute、およびMetasploitを含むツールキットをゲストシステム内で直接手動で組み立てかつコンパイルした。
この隠蔽された仮想マシンはホストセキュリティ制御からの聖域としてのみではなく、完全に実現された内部ワークステーションとして機能する。この有利な立場から、敵対者はActive Directory脆弱性を系統的に調査し、Kerberosチケットをハーベストし、包括的なデータ流出に備えることができる。
Sophosは組織に対して、権限のないQEMUインストール、SYSTEMとして実行されている異常なスケジュール済みタスク、および非定型的なSSHポートフォワーディングを含む複数の侵害指標に対して警戒を維持するよう助言している。Payouts Kingの物語は、より広いパラダイムシフトを強調している。コンプロマイズされたホスト内の仮想マシンは不可欠な要塞となり、攻撃者が従来の防御システムのレーダーほぼ完全に下で動作、回避、および暗号化することを可能にしている。
データリーク保護
