QEMU gebruikt voor verspreiden van ransomware en backdoors

In dit artikel:

Securitybedrijf Sophos meldt dat aanvallers de afgelopen maanden steeds vaker de opensource-emulator QEMU inzetten om backdoors te zetten en ransomware te verspreiden. De methode is niet nieuw — eerdere meldingen stammen uit 2020 en waarschuwingen volgden in 2024 — maar Sophos documenteerde in detail twee recente campagnes: STAC4713 (voor het eerst gezien in november 2025) en STAC3725 (voor het eerst in februari 2026).

In STAC4713 startten de aanvallers een QEMU-virtuele machine via een geplande taak met de naam "TPMProfiler", waarbij qemu-system-x86_64.exe onder het SYSTEM-account draait en een virtuele schijf met een ongewone extensie gebruikt wordt. De VM (een Alpine 3.22.0-image) maakt portforwards van 32567 en 22022 naar SSH (poort 22) en legt een reverse SSH-tunnel naar een extern IP, zodat de aanvallers toegang krijgen en tools installeren om domeinwachtwoorden te stelen. Toegang tot netwerken werd verkregen via onder meer SonicWall VPN’s zonder MFA en een kwetsbaarheid in SolarWinds Web Help Desk.

In STAC3725 gebruikten de aanvallers een fout in Citrix NetScaler om binnen te komen, plaatsten een malafide ScreenConnect-client voor persistentie en zetten vervolgens een QEMU-VM neer voor verdere reconnaissance en credential-diefstal.

Sophos waarschuwt dat legitieme virtualisatiesoftware het monitoren bemoeilijkt: activiteiten vinden binnen de VM plaats, waardoor er weinig sporen op het host-systeem achterblijven. Voor organisaties betekent dit dat patchen, MFA inschakelen, ongebruikelijke geplande taken en QEMU-processen monitoren, en netwerkforwarding controleren cruciale mitigaties zijn.