RedactorСпециалисты компании Sophos выявили новую тактику киберпреступников, которые все активнее применяют легальный инструмент виртуализации QEMU для скрытого запуска вредоносных виртуальных машин на заражённых компьютерах. Это позволяет обходить защитные механизмы и обеспечивать длительный скрытый доступ.
С конца 2025 года были зафиксированы две крупные кампании с использованием QEMU. В первой, известной как STAC4713, злоумышленники активировали виртуальную машину через задачу TPMProfiler с системными правами, размещая в ней инструменты для удалённого доступа, кражи учётных данных и вывода информации. Внешняя связь осуществлялась через обратные SSH-туннели, а образы виртуальных дисков маскировались под базы данных или DLL-файлы.
Данная кампания связана с распространением вымогателя PayoutsKing и, возможно, с группой GOLD ENCOUNTER, которая специализируется на атаках на виртуализированную инфраструктуру, включая VMware и ESXi. В начале 2026 года наблюдалась смена тактики: злоумышленники начали использовать Cisco SSL VPN, рассылать фишинговые письма и обманывать сотрудников через Microsoft Teams с последующей загрузкой QuickAssist.
Вторая кампания, STAC3725, стартовала в феврале 2026 года и эксплуатировала уязвимость CitrixBleed2 в NetScaler. После взлома устанавливался вредоносный клиент ScreenConnect, создавался новый локальный администратор и запускалась виртуальная машина с Alpine Linux. Внутри неё преступники собирали инструменты для разведки и подготовки дальнейших атак, включая Impacket, BloodHound и Metasploit.
Главная угроза такого подхода состоит в том, что вредоносная активность происходит внутри виртуальной машины, практически не оставляя следов на основной системе, что облегчает скрытность и боковое перемещение по сети.
Sophos рекомендует проверять системы на наличие несанкционированных установок QEMU, подозрительных задач с правами SYSTEM, необычной переадресации SSH-портов и виртуальных дисков.
В отдельной международной операции Europol и партнеры из 21 страны провели масштабные действия против сервисов DDoS-for-hire, которые позволяют легко организовать атаки отказа в обслуживании.
Операция PowerOFF, проведённая в апреле 2026 года, привела к изъятию 53 доменов, задержанию четырёх человек и отправке более 75 тысяч предупреждений пользователям таких сервисов. Были выявлены данные более трёх миллионов учетных записей, что позволило синхронно провести рейды в нескольких странах.
Правоохранители отметили, что рынок DDoS-услуг остается доступным сегментом киберпреступности с минимальными требованиями к навыкам. Цели атак варьируются от коммерческой конкуренции до идеологических мотивов.
Для профилактики Europol разместил предупреждения в поисковых системах, добился удаления более 100 ссылок на DDoS-сервисы и начал рассылать уведомления через блокчейн-сети, используемые злоумышленниками для оплаты.
