Антивирус не спасет: хакеры теперь прячут целые ОС в обычных файлах
Киберпреступники всё чаще прячут вредоносную активность там, где защитные системы почти ничего не видят. Новый разбор Sophos показывает, что для скрытого проникновения, кражи данных и подготовки шифровальщиков злоумышленники начали активнее использовать QEMU — легальный инструмент виртуализации, который помогает запускать на заражённой машине незаметную для защитных решений виртуальную среду.
По данным Sophos, с конца 2025 года специалисты зафиксировали как минимум две отдельные кампании, где QEMU стал ключевым элементом атаки. В одной из них, STAC4713, преступники разворачивали скрытую виртуальную машину через задачу TPMProfiler, запущенную с правами SYSTEM.
Внутри такой среды размещали набор инструментов для удалённого доступа, кражи учётных данных и вывода информации. Для маскировки образ виртуального диска выдавали то за файл базы данных, то за библиотеку DLL, а связь с внешней инфраструктурой строили через обратные SSH-туннели.
Sophos связывает STAC4713 с распространением вымогателя PayoutsKing. Аналитики считают, что операция может быть связана с группой GOLD ENCOUNTER, которая сосредоточена на атаках на виртуализированную инфраструктуру, включая VMware и ESXi.
В ходе расследования специалисты также заметили смену тактики: если раньше злоумышленники чаще проникали через плохо защищённые VPN и уязвимость SolarWinds Web Help Desk, то в феврале и марте 2026 года появились эпизоды с Cisco SSL VPN, а также с рассылкой писем и обманом сотрудников через Microsoft Teams с последующей загрузкой QuickAssist.
Вторая кампания, STAC3725, началась в феврале 2026 года и использовала уязвимость CitrixBleed2 в NetScaler. После взлома атакующие устанавливали вредоносный клиент ScreenConnect, создавали нового локального администратора и уже затем запускали QEMU с образом Alpine Linux.
В отличие от первой схемы, здесь преступники не приносили готовый комплект утилит, а собирали набор прямо внутри виртуальной машины. Для разведки в Active Directory, перебора имён Kerberos, кражи данных и подготовки дальнейших шагов применялись Impacket, BloodHound, Kerbrute, Metasploit и другие инструменты.
Главная опасность такой схемы в том, что вредоносная активность уходит внутрь виртуальной машины и почти не оставляет следов на основной системе. Такой подход даёт злоумышленникам долгий скрытый доступ, упрощает боковое перемещение по сети и помогает незаметно подготовить атаку с вымогательским ПО.
Sophos советует проверять среду на наличие несанкционированных установок QEMU, подозрительных задач, работающих от имени SYSTEM, нестандартной переадресации портов на SSH и необычных файлов виртуальных дисков.