Angreifer verwandeln QEMU in eine heimliche Hintertür zum Diebstahl von Anmeldeinformationen und Ransomware

Threat Actors nutzen QEMU, einen legitimen Open-Source-Maschinenemulator und Virtualisierer, nun als geheimen Hintertür, um Anmeldedaten zu stehlen und Ransomware zu verbreiten, ohne dass Alarme von Endpoint-Sicherheitsl Threat Actors nutzen QEMU, einen legitimen Open-Source-Maschinenemulator und Virtualisierer, nun als geheimen Hintertür, um Anmeldedaten zu stehlen und Ransomware zu verbreiten, ohne dass Alarme von Endpoint-Sicherheitslösungen ausgelöst werden.

Dieser alarmierende Wandel im Angriffsverhalten verdeutlicht, wie frei verfügbare, vertrauenswürdige Softwarewerkzeuge in leistungsstarke Umgehungswaffen in Unternehmensumgebungen verwandelt werden.

QEMU, das weit verbreitet für Hardware-Virtualisierung und Softwaretests eingesetzt wird, ist ein attraktives Ziel für Missbrauch geworden, da bösartige Aktivitäten, die innerhalb einer virtuellen Maschine (VM) laufen, für die meisten Endpoint-Schutzwerkzeuge im Wesentlichen unsichtbar sind.

Sicherheitskontrollen, die auf dem Host-System installiert sind, können nicht sehen, was in der versteckten VM passiert, und diese Angriffe hinterlassen für Ermittler kaum forensische Beweise. Dies macht QEMU-basierte Eindringlinge extrem schwer in Echtzeit zu erkennen und einzudämmen.

Sophos-Analysten untersuchen aktiv den Missbrauch von QEMU durch Bedrohungsakteure, die versteckte VMs betreiben, um ihre Operationen zu verschleiern, Domain-Anmeldeinformationen zu sammeln und Ransomware-Einsätze gegen gezielte Organisationen vorzubereiten.

Ihre Forschung identifizierte zwei unterschiedliche Angriffs-Kampagnen, die seit Ende 2025 aktiv sind und als STAC4713 und STAC3725 verfolgt werden, von denen beide die Virtualisierung als Kernstrategie zur Umgehung nutzen.