QEMU đang bị các tác nhân đe dọa lợi dụng như một backdoor ẩn để thu thập thông tin xác thực và triển khai ransomware mà không kích hoạt cảnh báo của endpoint security. Đây là một dạng tin tức bảo mật cho thấy phần mềm hợp pháp, đáng tin cậy có thể bị biến thành công cụ né tránh phát hiện trong môi trường doanh nghiệp.
QEMU bị lạm dụng trong các chiến dịch tin tức bảo mật
QEMU là trình giả lập và ảo hóa mã nguồn mở được dùng rộng rãi cho kiểm thử phần cứng và chạy máy ảo. Khi hoạt động độc hại diễn ra bên trong VM, hầu hết công cụ bảo vệ trên host gần như không quan sát được nội dung bên trong. Điều này làm cho QEMU-based intrusions khó phát hiện, khó cô lập và để lại rất ít dấu vết pháp y.
Theo phân tích từ Sophos, các chiến dịch lạm dụng QEMU đang được theo dõi dưới tên STAC4713 và STAC3725. Cả hai đều sử dụng ảo hóa như một chiến lược né tránh phát hiện. Báo cáo gốc có thể tham khảo tại Sophos.
Chuỗi tấn công và kỹ thuật né tránh trong lỗ hổng CVE và xâm nhập mạng
Chiến dịch STAC4713 được phát hiện từ tháng 11/2025 và liên quan đến vận hành ransomware PayoutsKing. Chiến dịch thứ hai, STAC3725, xuất hiện từ tháng 2/2026 và dùng CVE-2025-5777 (CitrixBleed2) làm điểm vào ban đầu. Tham chiếu bổ sung cho CVE này có thể xem tại NVD.
Sau khi xâm nhập, đối tượng cài một client ScreenConnect để duy trì persistence, rồi triển khai một VM QEMU nhằm thực hiện thu thập thông tin xác thực trong môi trường Active Directory. Trong chuỗi này, QEMU đóng vai trò che giấu hoạt động, giúp xâm nhập mạng kéo dài mà không bị phát hiện bởi các cơ chế giám sát chuẩn.
Việc lạm dụng phần mềm ảo hóa hợp pháp tạo ra một lớp ẩn bên trong host. Security control trên máy chủ chỉ thấy tiến trình QEMU, trong khi các thao tác bên trong VM không hiển thị đầy đủ. Đây là nguyên nhân khiến lỗ hổng CVE hoặc điểm vào từ xa có thể nhanh chóng chuyển thành một sự cố rủi ro bảo mật nghiêm trọng.
STAC4713: kỹ thuật triển khai VM ẩn và rủi ro bảo mật
Trong STAC4713, tác nhân tạo một scheduled task tên TPMProfiler để chạy qemu-system-x86_64.exe dưới tài khoản SYSTEM. Nhiệm vụ này khởi động bằng một virtual hard disk image được ngụy trang bằng các phần mở rộng file không phổ biến nhằm tránh bị chú ý.
Ban đầu ảnh đĩa được đặt tên là vault.db, sau đó đổi thành bisrv.dll vào tháng 1/2026. Mục tiêu là làm cho file đĩa ảo trông giống thành phần hệ thống hợp lệ, từ đó qua mặt cơ chế giám sát và kiểm tra thủ công.
Thiết lập port forwarding và kênh SSH ẩn
Khi scheduled task chạy, hệ thống thiết lập chuyển tiếp cổng từ 32567 và 22022 sang cổng 22 để truy cập SSH. Ở bước khởi động máy, image đĩa sử dụng AdaptixC2 hoặc OpenSSH để tạo reverse SSH tunnel tới một địa chỉ IP từ xa.
Kết quả là một kênh truy cập từ xa bị che giấu, không đi qua các điểm phát hiện endpoint tiêu chuẩn. Cách triển khai này làm tăng đáng kể nguy cơ bảo mật do hoạt động điều khiển và đánh cắp dữ liệu diễn ra bên trong VM thay vì trên host.
Công cụ được nạp trong VM
VM QEMU trong STAC4713 chạy image Alpine Linux 3.22.0 và được nạp sẵn nhiều công cụ phục vụ thao tác hậu khai thác:
- Linker2
- AdaptixC2
- wg-obfuscator – công cụ làm nhiễu lưu lượng WireGuard tùy chỉnh
- BusyBox
- Chisel
- Rclone
Các thành phần này cho thấy mục tiêu không chỉ là duy trì truy cập mà còn phục vụ di chuyển dữ liệu và che giấu kênh liên lạc. Trong bối cảnh tin tức an ninh mạng, đây là ví dụ điển hình về việc ảo hóa bị lạm dụng để né tránh giám sát.
STAC3725: khai thác lỗ hổng CVE và thực thi công cụ tấn công bên trong VM
Khác với STAC4713, chiến dịch STAC3725 không dùng sẵn một bộ công cụ đóng gói trước. Thay vào đó, tác nhân biên dịch thủ công bộ công cụ tấn công ngay bên trong VM. Cách làm này làm giảm khả năng phát hiện theo chữ ký và tăng mức độ linh hoạt trong vận hành.
Chuỗi công cụ được quan sát bao gồm:
- Impacket
- KrbRelayX
- Coercer
- BloodHound.py
- NetExec
- Kerbrute
- Metasploit
Ngoài ra còn có các thư viện hỗ trợ cho Python, Rust, Ruby và C. Việc biên dịch nội bộ trong VM giúp che giấu dấu vết tải xuống và giảm khả năng nhận diện bởi các công cụ phòng thủ.
Hoạt động quan sát được
Các hành vi độc hại được ghi nhận gồm:
- Tải và thu thập credentials
- Liệt kê tên người dùng Kerberos bằng Kerbrute
- Reconnaissance Active Directory bằng BloodHound
- Chuẩn bị payload thông qua các FTP server
Đây là một chuỗi tấn công mạng có tính tổ chức, trong đó VM được dùng như khu vực thao tác kín để tránh bị endpoint security quan sát. Khi các công cụ kiểm soát chỉ nhìn thấy host, phát hiện tấn công trở nên khó khăn hơn đáng kể.
Ảnh hưởng hệ thống và dấu hiệu cần kiểm tra
Việc lạm dụng QEMU có thể dẫn đến hệ thống bị xâm nhập kéo dài, thu thập thông tin xác thực miền, duy trì quyền truy cập ẩn và triển khai mã độc ransomware. Do hoạt động chính diễn ra bên trong VM, dữ liệu điều tra thường thiếu IOC trực tiếp ở lớp host.
Các điểm cần đặc biệt chú ý gồm scheduled task bất thường, file image giả dạng DLL hoặc DB, tiến trình qemu-system-x86_64.exe chạy dưới SYSTEM, và các cổng chuyển tiếp không điển hình. Đây là các dấu hiệu hỗ trợ phát hiện xâm nhập trong môi trường có giám sát tiến trình và dịch vụ tốt hơn.
IOC quan sát được
- Scheduled task:
TPMProfiler - QEMU binary:
qemu-system-x86_64.exe - File ngụy trang:
vault.db,bisrv.dll - Cổng chuyển tiếp:
32567,22022→22 - Image hệ điều hành:
Alpine Linux 3.22.0 - CVE:
CVE-2025-5777
Định hướng kiểm soát và giảm rủi ro an toàn thông tin
Với kiểu lỗ hổng zero-day hoặc khai thác điểm vào từ xa kết hợp VM ẩn, tổ chức cần tăng kiểm soát trên scheduled task, hành vi ảo hóa và lưu lượng SSH bất thường. Các cơ chế giám sát cần chú ý tới tiến trình hợp pháp bị lạm dụng, đặc biệt là phần mềm ảo hóa và công cụ remote access.
Việc theo dõi thay đổi tên file, quyền chạy dưới SYSTEM, port forwarding lạ và các image đĩa ảo không chuẩn là yếu tố quan trọng để phát hiện sớm mối đe dọa. Trong bối cảnh này, cập nhật bản vá cho các thành phần dễ bị khai thác như CVE-2025-5777 là yêu cầu bắt buộc.
