Wie Hacker QEMU als Schutzschild für Ransomware missbrauchen

Hacker haben eine Methode perfektioniert, um unter dem Radar moderner Sicherheitssoftware zu fliegen. Durch den Missbrauch des Open-Source-Emulators QEMU verstecken sie komplette Angriffsszenarien als Ransomware in virtuellen Maschinen.

In der Welt der IT-Sicherheit gilt Virtualisierung eigentlich als Werkzeug für Effizienz und Isolation. Doch für Bedrohungsakteure wie die Gruppe GOLD ENCOUNTER ist sie zum ultimativen Tarnkappenbomber geworden. Das Problem ist technischer Natur: Aktivitäten innerhalb einer virtuellen Maschine (VM) sind für Sicherheitslösungen, die auf dem Host-System installiert sind, nahezu unsichtbar. Es ist, als würde man versuchen, durch eine geschlossene Stahltür zu sehen. Der Endpunktschutz sieht den Prozess „QEMU“, aber nicht, dass darin gerade das gesamte Firmennetzwerk ausgespäht wird.

STAC4713: Die Rückkehr der „Stahl-Backdoor“

Seit Ende 2025 beobachten Analysten die Kampagne STAC4713. Hierbei handelt es sich nicht um ein klassisches Ransomware-as-a-Service-Modell (RaaS), sondern um eine gezielte, finanziell motivierte Operation. Die Hacker nutzen QEMU, um eine versteckte Reverse-SSH-Backdoor zu etablieren, berichtet Sophos.

Besonders perfide ist die Methode der Persistenz: Die Hacker erstellen eine geplante Aufgabe namens „TPMProfiler“. Diese startet unter dem SYSTEM-Konto eine QEMU-VM. Das zugehörige Festplattenabbild wird dabei als harmlose Datei getarnt, etwa als Datenbankdatei (vault.db) oder als System-DLL (bisrv.dll). Sobald die VM startet, baut sie einen verschlüsselten Tunnel zu einem externen Server auf.

„Der Missbrauch von QEMU stellt einen wachsenden Trend zur Verschleierung dar, bei dem Bedrohungsakteure legitime Virtualisierungssoftware nutzen, um böswillige Handlungen vor Endpunktschutz-Agenten und Audit-Protokollen zu verbergen.“

Anzeige

Analysten von Sophos

Innerhalb dieser VM operieren die Angreifer mit einem Alpine Linux-System, das vollgepackt ist mit Tools wie Chisel oder Rclone. Von dort aus stehlen sie Domänen-Anmeldeinformationen und bereiten die Bereitstellung der PayoutsKing-Ransomware vor.

Taktikwechsel: Social Engineering trifft Hochtechnologie

Interessanterweise hat GOLD ENCOUNTER ihre Strategie im Frühjahr 2026 angepasst. Während im Februar noch Schwachstellen in Cisco SSL VPNs ausgenutzt wurden, setzten die Angreifer im März 2026 auf den Faktor Mensch. Sie gaben sich über Microsoft Teams als IT-Support aus, um Mitarbeiter zur Installation von Fernwartungstools zu bewegen. Diese Kombination aus altbewährtem Social Engineering und hochmoderner Verschleierungstechnik macht die Gruppe aktuell zu einer der gefährlichsten Bedrohungen für Unternehmen. Zudem zielt GOLD ENCOUNTER verstärkt auf die Kompromittierung von ESXi-Servern ab, um durch großflächige Verschlüsselungen innerhalb virtueller Infrastrukturen maximalen Druck auszuüben.

STAC3725: Handarbeit in der virtuellen Welt

Parallel dazu wurde die Kampagne STAC3725 identifiziert. Diese nutzt die CitrixBleed2-Schwachstelle, um einen Erstzugriff zu erlangen. Doch anstatt ein fertiges Schadprogramm zu zünden, gehen die Angreifer hier fast handwerklich vor: Sie installieren eine QEMU-VM und kompilieren ihr gesamtes Angriffspaket manuell innerhalb der VM. Darunter sind Frameworks wie Metasploit oder BloodHound.

Dieser Ansatz verhindert, dass Signaturen bekannter Hacker-Tools beim Kopieren auf den Server Alarm schlagen. Alles, was die Verteidiger sehen, ist ein hoher Ressourcenverbrauch eines legitimen Virtualisierungstools. Währenddessen scannen die Angreifer das Active Directory oder betreiben FTP-Server für die Datenexfiltration direkt aus der VM heraus.

Verteidigungsstrategien: Den blinden Fleck eliminieren

Da die Bedrohung innerhalb der VM isoliert ist, müssen Administratoren auf die Indikatoren achten, die QEMU auf dem Host-System hinterlässt. Sophos empfiehlt folgende Schutzmaßnahmen:

• Auditierung von Virtualisierungssoftware: Überprüfen Sie Ihre Systeme auf nicht autorisierte Installationen von QEMU, VirtualBox oder VMware.
• Überwachung geplanter Aufgaben: Achten Sie besonders auf Aufgaben, die unter dem SYSTEM-Konto laufen und ungewöhnliche Dateiendungen (wie .qcow2, .db oder .dll in untypischen Verzeichnissen) aufrufen.
• Netzwerkanalyse: Überwachen Sie ausgehende SSH-Tunnel auf nicht standardmäßigen Ports. Port-Weiterleitungsregeln, die auf Port 22 abzielen, sind ein massives Warnsignal.
• Dateierkennung: Markieren Sie virtuelle Festplattenabbilder mit ungewöhnlichen Namen.

Hacker nutzen zunehmend die Werkzeuge der Administratoren gegen sie. In einer Welt, in der die Malware in einer „Box in der Box“ operiert, reicht es nicht mehr aus, nur auf verdächtige Dateien zu scannen. Man muss die Infrastruktur verstehen, in der sie sich verstecken.