Retour à l'accueil

Les pirates déguisent un système d'exploitation en fichiers : nouvelle tactique pour contourner l'antivirus

Les cybercriminels utilisent l'outil légitime QEMU pour exécuter des machines virtuelles cachées, déguisant les images en fichiers ordinaires. Les experts de Sophos ont identifié deux campagnes où cette technique est utilisée pour contourner l'antivirus et l'EDR.

Comment les pirates cachent des systèmes d'exploitation entiers dans des fichiers ordinaires
Advertisement 728x90

Les pirates déguisent des systèmes d'exploitation entiers en fichiers ordinaires : nouvelle tactique pour contourner les antivirus

Les cybercriminels ont trouvé un moyen de cacher des activités malveillantes dans des outils de virtualisation légitimes. En utilisant QEMU, les attaquants exécutent des systèmes d'exploitation entiers qui passent inaperçus aux yeux des mesures de sécurité standard. Cette technique est déjà utilisée dans plusieurs campagnes de ransomwares.

Comment fonctionne l'attaque basée sur QEMU

QEMU est un logiciel open-source populaire pour l'émulation et la virtualisation. Entre les mains des attaquants, il devient un outil puissant pour masquer les traces. Au lieu d'exécuter des processus malveillants directement sur le système infecté, les pirates déploient une machine virtuelle (VM) à l'intérieur de celui-ci. Toutes les actions malveillantes sont effectuées dans cette VM, tandis que seuls les processus QEMU légitimes restent sur l'hôte.

L'image du disque virtuel est déguisée en fichiers ordinaires, par exemple en bases de données ou en bibliothèques DLL. La communication avec le serveur de commande s'effectue via des tunnels SSH inversés, ce qui rend difficile la détection des anomalies réseau.

Google AdInline article slot

Deux campagnes : STAC4713 et STAC3725

Les chercheurs de Sophos ont identifié au moins deux campagnes distinctes utilisant cette technique.

Campagne STAC4713

Dans cette campagne, active depuis fin 2025, les attaquants ont déployé une VM cachée via une tâche TPMProfiler s'exécutant avec les privilèges SYSTEM. À l'intérieur de la VM, un ensemble complet d'outils d'accès à distance, de vol d'identifiants et d'exfiltration de données a été installé. La campagne est liée à la distribution du ransomware PayoutsKing. Les analystes pensent qu'elle est orchestrée par le groupe GOLD ENCOUNTER, spécialisé dans les attaques contre les infrastructures virtualisées (VMware, ESXi).

Campagne STAC3725

Démarrée en février 2026, cette campagne exploite la vulnérabilité CitrixBleed2 dans NetScaler. Après l'intrusion, les pirates installent un client ScreenConnect malveillant, créent un compte administrateur local et lancent QEMU avec une image Alpine Linux. Contrairement à la première campagne, les outils de reconnaissance sont rassemblés dans la VM : Impacket, BloodHound, Kerbrute, Metasploit et d'autres sont utilisés.

Google AdInline article slot

Pourquoi c'est dangereux : furtivité et accès à long terme

Le principal danger de cette approche est que l'activité malveillante ne laisse presque aucune trace sur le système hôte. Les solutions antivirus et EDR ne voient que le processus QEMU légitime et ne peuvent pas inspecter l'intérieur de la machine virtuelle. Cela donne aux attaquants un accès caché à long terme, simplifie le mouvement latéral sur le réseau et leur permet de préparer tranquillement une attaque par ransomware.

Comment se défendre : recommandations des experts

Sophos recommande les mesures suivantes pour détecter de telles attaques :

  • Vérifier l'environnement pour les installations non autorisées de QEMU.
  • Surveiller les tâches suspectes s'exécutant en tant que SYSTEM.
  • Détecter les redirections de ports SSH inhabituelles.
  • Rechercher des fichiers de disque virtuel suspects.

Points clés à retenir

  • Les pirates utilisent l'outil légitime QEMU pour exécuter des machines virtuelles cachées.
  • Les images de VM sont déguisées en fichiers ordinaires (bases de données, DLL).
  • Les attaques contournent les antivirus et EDR, restant indétectées.
  • Deux campagnes identifiées : STAC4713 (PayoutsKing) et STAC3725 (CitrixBleed2).
  • Surveiller les installations non autorisées de QEMU et les tunnels SSH suspects.

Contexte et implications

L'utilisation de la virtualisation pour cacher des activités malveillantes est une évolution des tactiques des cybercriminels. Auparavant, des utilitaires système légitimes (LOLBins) étaient utilisés à cette fin, mais QEMU offre des capacités plus larges. Le nombre de ces attaques devrait augmenter, en particulier dans les environnements d'entreprise où la virtualisation est répandue. Les entreprises doivent adapter leurs stratégies de défense, notamment l'analyse comportementale et la surveillance au niveau de l'hyperviseur.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Lire ensuite