Volver al inicio

Los hackers disfrazan sistemas operativos como archivos: nueva táctica para evadir antivirus

Los ciberdelincuentes utilizan la herramienta legítima QEMU para ejecutar máquinas virtuales ocultas, disfrazando imágenes como archivos ordinarios. Expertos de Sophos han identificado dos campañas donde se utiliza esta técnica para evadir antivirus y EDR.

Cómo los hackers ocultan sistemas operativos completos en archivos ordinarios
Advertisement 728x90

Hackers disfrazan sistemas operativos completos como archivos comunes: nueva táctica para evadir antivirus

Los ciberdelincuentes han encontrado una forma de ocultar actividades maliciosas dentro de herramientas de virtualización legítimas. Usando QEMU, los atacantes ejecutan sistemas operativos completos que pasan desapercibidos para las medidas de seguridad estándar. Esta técnica ya se está utilizando en varias campañas de ransomware.

Cómo funciona el ataque basado en QEMU

QEMU es un popular software de código abierto para emulación y virtualización. En manos de atacantes, se convierte en una poderosa herramienta para ocultar rastros. En lugar de ejecutar procesos maliciosos directamente en el sistema infectado, los hackers despliegan una máquina virtual (VM) dentro de él. Todas las acciones maliciosas se realizan dentro de esta VM, mientras que solo los procesos legítimos de QEMU permanecen en el host.

La imagen del disco virtual se disfraza como archivos comunes—por ejemplo, bases de datos o bibliotecas DLL. La comunicación con el servidor de comando se realiza a través de túneles SSH inversos, lo que dificulta la detección de anomalías en la red.

Google AdInline article slot

Dos campañas: STAC4713 y STAC3725

Investigadores de Sophos han identificado al menos dos campañas separadas que utilizan esta técnica.

Campaña STAC4713

En esta campaña, activa desde finales de 2025, los atacantes desplegaron una VM oculta mediante una tarea TPMProfiler ejecutada con privilegios SYSTEM. Dentro de la VM, se colocó un conjunto completo de herramientas para acceso remoto, robo de credenciales y exfiltración de datos. La campaña está vinculada a la distribución del ransomware PayoutsKing. Los analistas creen que es orquestada por el grupo GOLD ENCOUNTER, especializado en ataques a infraestructura virtualizada (VMware, ESXi).

Campaña STAC3725

A partir de febrero de 2026, esta campaña explota la vulnerabilidad CitrixBleed2 en NetScaler. Tras la brecha, los hackers instalan un cliente ScreenConnect malicioso, crean una cuenta de administrador local y ejecutan QEMU con una imagen de Alpine Linux. A diferencia de la primera campaña, las herramientas de reconocimiento se recopilan dentro de la VM: se utilizan Impacket, BloodHound, Kerbrute, Metasploit y otros.

Google AdInline article slot

Por qué es peligroso: sigilo y acceso a largo plazo

El principal peligro de este enfoque es que la actividad maliciosa deja casi ningún rastro en el sistema host. Las soluciones antivirus y EDR solo ven el proceso legítimo de QEMU y no pueden mirar dentro de la máquina virtual. Esto otorga a los atacantes acceso oculto a largo plazo, simplifica el movimiento lateral a través de la red y les permite preparar silenciosamente un ataque de ransomware.

Cómo defenderse: recomendaciones de expertos

Sophos recomienda las siguientes medidas para detectar tales ataques:

  • Verificar el entorno en busca de instalaciones no autorizadas de QEMU.
  • Monitorear tareas sospechosas ejecutadas como SYSTEM.
  • Detectar reenvíos de puertos SSH inusuales.
  • Vigilar archivos de disco virtual inusuales.

Conclusiones clave

  • Los hackers utilizan la herramienta legítima QEMU para ejecutar máquinas virtuales ocultas.
  • Las imágenes de VM se disfrazan como archivos comunes (bases de datos, DLL).
  • Los ataques evaden antivirus y EDR, permaneciendo sin detectar.
  • Se identificaron dos campañas: STAC4713 (PayoutsKing) y STAC3725 (CitrixBleed2).
  • Monitorear instalaciones no autorizadas de QEMU y túneles SSH sospechosos.

Contexto e implicaciones

El uso de virtualización para ocultar actividad maliciosa es una evolución de las tácticas ciberdelincuentes. Anteriormente, se utilizaban utilidades legítimas del sistema (LOLBins) para este propósito, pero QEMU ofrece capacidades más amplias. Se espera que el número de tales ataques crezca, especialmente en entornos corporativos donde la virtualización está muy extendida. Las empresas deben adaptar sus estrategias de defensa, incluyendo análisis de comportamiento y monitoreo a nivel de hipervisor.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Leer después