Retour à l'accueil

Les attaquants de ransomware cachent leurs attaques via QEMU : comment se protéger

L'article analyse une nouvelle technique de ransomware utilisant des machines virtuelles QEMU pour cacher l'activité malveillante. Il examine les campagnes de Payouts King et les attaques via la vulnérabilité CitrixBleed 2, et fournit des recommandations pour la détection et la protection.

Les ransomwares se cachent dans les machines virtuelles : nouvelle menace QEMU
Advertisement 728x90

Les groupes de ransomware masquent leurs activités malveillantes avec des machines virtuelles basées sur QEMU

Les groupes de ransomware utilisent de plus en plus la virtualisation pour dissimuler leurs actions aux systèmes de sécurité. Les opérateurs du ransomware Payouts King et d'autres groupes cybercriminels déploient des machines virtuelles cachées sur des hôtes compromis, leur permettant de contourner les solutions antivirus et EDR.

Comment fonctionne l'attaque QEMU

Les attaquants injectent l'hyperviseur open-source QEMU dans le système cible. À l'intérieur de la machine virtuelle, un système d'exploitation léger comme Alpine Linux s'exécute, ne laissant aucune trace sur l'hôte. Tous les outils malveillants, y compris l'accès à distance, le vol de données et les utilitaires de reconnaissance, opèrent dans cet environnement isolé, restant invisibles pour les outils de surveillance du système d'exploitation hôte.

Cette approche offre plusieurs avantages aux attaquants :

Google AdInline article slot
  • Les fichiers malveillants ne sont pas scannés par l'antivirus de l'hôte.
  • Les connexions réseau initiées depuis la VM apparaissent comme du trafic QEMU légitime.
  • Tous les outils peuvent être exécutés à l'intérieur de la VM sans risque de détection.

Deux campagnes : Payouts King et attaques via les vulnérabilités Citrix

Les chercheurs de Sophos ont documenté deux incidents où cette technique a été utilisée. Dans le premier cas (STAC4713), le groupe GOLD ENCOUNTER, lié au ransomware Payouts King, a utilisé QEMU pour la persistance réseau. Le second cas (STAC3725) était basé sur l'exploitation de la vulnérabilité CitrixBleed 2 (CVE-2025-5777) dans les appareils NetScaler.

Campagne STAC4713 : Payouts King

Les opérateurs ont créé une tâche planifiée nommée TPMProfiler qui lançait QEMU avec les privilèges SYSTEM. Les disques virtuels étaient déguisés en fichiers de base de données ou en DLL. À l'intérieur de la VM, Alpine Linux s'exécutait avec des outils préinstallés :

  • AdaptixC2 — pour la gestion des canaux de commande.
  • Chisel — pour le proxy de trafic.
  • BusyBox — pour exécuter des commandes système.
  • Rclone — pour le vol de données.

L'accès initial a été obtenu via des vulnérabilités dans SonicWall VPN ou SolarWinds Web Help Desk (CVE-2025-26399). Après la pénétration, les attaquants ont extrait des identifiants d'Active Directory en utilisant Volume Shadow Copy (VSS) et en copiant les fichiers NTDS.dit, SAM et SYSTEM.

Google AdInline article slot

Campagne STAC3725 : Attaques via CitrixBleed 2

Dans cette attaque, les attaquants ont exploité une vulnérabilité dans NetScaler, puis installé ScreenConnect pour l'accès à distance et déployé QEMU avec Alpine Linux. Contrairement à la première campagne, les outils ont été assemblés manuellement à l'intérieur de la VM. Ceux-ci comprenaient :

  • Impacket — pour travailler avec les protocoles réseau Windows.
  • KrbRelayx — pour les attaques Kerberos.
  • BloodHound.py — pour l'analyse d'Active Directory.
  • Metasploit — pour la post-exploitation.

L'objectif était le vol d'identifiants, la reconnaissance du domaine et la préparation à l'exfiltration de données via FTP.

Points clés à retenir

  • L'utilisation de QEMU permet aux ransomwares de contourner la plupart des mesures de sécurité de l'hôte.
  • Payouts King est probablement lié à d'anciens membres de BlackBasta, comme en témoignent des méthodes d'ingénierie sociale similaires.
  • Le ransomware utilise AES-256 pour les données et RSA-4096 pour les clés, ainsi qu'un chiffrement intermittent pour la rapidité.
  • Il est conseillé aux entreprises de surveiller les installations non autorisées de QEMU, les tâches SYSTEM suspectes et les tunnels SSH inhabituels.

Contexte et implications

La tendance à utiliser la virtualisation dans les attaques est croissante. Auparavant, des méthodes similaires étaient utilisées par les groupes 3AM, LoudMiner et dans la campagne de phishing CRON#TRAP. Pour se défendre contre ces menaces, les organisations devraient mettre en œuvre une surveillance au niveau de l'hyperviseur, restreindre les droits d'installation de logiciels et utiliser l'analyse comportementale.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Lire ensuite