Вымогатели запускают Linux внутри Windows — и крадут всё, пока антивирус спит

Шифровальщики все чаще прячут вредоносные инструменты не где-то рядом с системой, а прямо внутри нее. Операторы Payouts King начали использовать QEMU как скрытый канал доступа и площадку для запуска виртуальных машин на уже скомпрометированных устройствах. Для защитных решений на хосте такой прием особенно неприятен: антивирус, EDR и другие средства контроля следят за основной системой, но не видят, что происходит внутри гостевой машины.

QEMU в нормальном сценарии нужен для эмуляции процессоров и системной виртуализации. Инструмент с открытым исходным кодом позволяет запускать на одном компьютере другие операционные системы в виде виртуальных машин. Для атакующих такая схема полезна сразу по нескольким причинам. Внутри виртуальной машины можно хранить вредоносные файлы, запускать дополнительные нагрузки, разворачивать собственные утилиты для разведки и строить скрытые туннели удаленного доступа по SSH. Именно поэтому QEMU уже не раз появлялся в атаках разных группировок, включая вымогателей 3AM, майнинговую операцию LoudMiner и фишинговую кампанию CRON#TRAP.

Две такие кампании подробно разобрали исследователи Sophos. В обоих случаях злоумышленники использовали QEMU как часть набора для закрепления в сети и сбора доменных учетных данных. Первая операция, которую компания отслеживает как STAC4713, впервые попала в поле зрения в ноябре 2025 года. Sophos связывает ее с вымогательской программой Payouts King. Вторая кампания проходит под индексом STAC3725. Ее заметили уже в феврале 2026 года. Для первоначального проникновения там использовали уязвимость CitrixBleed 2, известную как CVE-2025-5777, в устройствах NetScaler ADC и NetScaler Gateway.

В случае STAC4713 исследователи связывают операторов с группой GOLD ENCOUNTER. Группировка известна атаками на гипервизоры, а также использованием шифровальщиков для сред VMware и ESXi. По данным Sophos, злоумышленники создают запланированную задачу с именем TPMProfiler и через нее запускают скрытую виртуальную машину QEMU с правами SYSTEM. Виртуальные диски маскируют под файлы баз данных и библиотеки DLL. Дальше настраивают переадресацию портов, чтобы получить незаметный доступ к зараженному хосту через обратный SSH-туннель.

Внутри виртуальной машины работает Alpine Linux 3.22.0. В образ заранее помещают инструменты, которые нужны для дальнейшей работы в сети жертвы. Sophos перечисляет AdaptixC2, Chisel, BusyBox и Rclone. Такой набор позволяет поддерживать командный канал, проксировать соединения, выполнять базовые системные операции и выводить данные наружу.

Начальный доступ в атаках STAC4713 менялся в зависимости от эпизода. В более ранних случаях злоумышленники использовали доступные из интернета устройства SonicWall VPN. В более свежих атаках Sophos заметила эксплуатацию уязвимости CVE-2025-26399 в SolarWinds Web Help Desk. Уже после проникновения операторы переходили к сбору чувствительных данных из Windows-инфраструктуры. Для начала применяли VSS через vssuirun.exe, чтобы создать теневую копию. Затем через команду print по SMB копировали NTDS.dit, а также кусты реестра SAM и SYSTEM во временные каталоги. Такая цепочка нужна для дальнейшего извлечения учетных данных и анализа структуры домена.

В более недавних инцидентах, которые Sophos также относит к GOLD ENCOUNTER, появились и другие способы входа. В феврале злоумышленники использовали внешний Cisco SSL VPN. В марте пошли уже не через уязвимость, а через социальную инженерию: выдавали себя за сотрудников IT-службы в Microsoft Teams и убеждали работников скачать и установить Quick Assist. После успешного запуска операторы использовали легитимный бинарный файл ADNotificationManager.exe для сайдлоадинга полезной нагрузки Havoc C2, замаскированной под vcruntime140_1.dll. Затем при помощи Rclone выгружали данные на удаленный SFTP-сервер.

Картину дополняет свежий отчет Zscaler. Исследователи компании считают, что Payouts King, вероятно, связан с бывшими участниками BlackBasta. Основанием стали сходные методы первоначального доступа: спам бомбинг, фишинг через Microsoft Teams и злоупотребление Quick Assist. В техническом плане семейство тоже построено агрессивно. Sophos отмечает тяжелую обфускацию, механизмы защиты от анализа, закрепление через запланированные задачи и отключение защитных средств при помощи низкоуровневых системных вызовов.

Схема шифрования у Payouts King комбинированная. Для данных используют AES-256 в режиме CTR, а для защиты ключей - RSA-4096. Для крупных файлов применяется прерывистое шифрование, когда шифруются не все блоки подряд, а отдельные фрагменты. Такой прием помогает ускорить работу шифровальщика без полного отказа от разрушительного эффекта. Записки с требованием выкупа ведут жертв на сайты утечки данных в даркнете, где оператор давит на компанию угрозой публикации украденной информации.

Вторая кампания, STAC3725, устроена иначе, хотя QEMU там тоже играет ключевую роль. После эксплуатации CitrixBleed 2 злоумышленники получают доступ к целевой среде через уязвимые NetScaler-устройства. Следом разворачивают ZIP-архив с вредоносным исполняемым файлом. Тот устанавливает сервис AppMgmt, создает нового локального администратора с именем CtxAppVCOMService и ставит клиент ScreenConnect для закрепления в системе.

Дальше ScreenConnect подключается к удаленному relay-серверу и открывает сессию с системными привилегиями. Уже через нее злоумышленники выгружают и распаковывают пакет QEMU, который запускает скрытую виртуальную машину Alpine Linux с использованием дискового образа custom.qcow2. На этом этапе исследователи заметили важную деталь. В отличие от первой кампании, где часть набора уже была подготовлена заранее, здесь операторы не брали готовый комплект целиком, а вручную устанавливали и собирали инструменты прямо внутри виртуальной машины.

Sophos перечисляет внушительный набор утилит, которые злоумышленники разворачивали в гостевой системе: Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute и Metasploit. Подбор хорошо показывает задачи атакующих. Impacket нужен для работы с сетевыми протоколами Windows и удаленного выполнения техник постэксплуатации. KrbRelayx помогает злоупотреблять механизмами Kerberos. Coercer используют для принуждения хостов к аутентификации. BloodHound.py собирает данные для анализа связей и привилегий в Active Directory. NetExec автоматизирует действия в доменной среде. Kerbrute подходит для перебора и перечисления имен пользователей Kerberos, а Metasploit закрывает широкий набор вспомогательных задач.

Наблюдаемая активность в STAC3725 включала кражу учетных данных, перечисление имен пользователей Kerberos, разведку в Active Directory и подготовку данных к выводу через FTP-серверы. Иными словами, скрытая виртуальная машина служила не только укрытием от средств защиты на хосте, но и полноценной внутренней рабочей станцией злоумышленника, где можно спокойно собрать инструменты, проверить доступы, нащупать слабые места домена и подготовить эксфильтрацию.

Sophos советует компаниям искать сразу несколько признаков компрометации. В списке подозрительных индикаторов - несанкционированные установки QEMU, необычные запланированные задачи с запуском от имени SYSTEM, нестандартная переадресация SSH-портов и исходящие SSH-туннели на нетипичных портах. Для защиты инфраструктуры такой список полезен еще и потому, что проблема не сводится к одному семейству вымогателей. История с Payouts King показывает более широкий сдвиг: виртуальная машина внутри уже взломанного хоста превращается в удобное укрытие, откуда можно воровать данные, обходить контроль и готовить шифрование почти вне поля зрения защитных систем.