2026-04-21 01:54:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Sophos研究报告显示，攻击者正日益滥用QEMU开源模拟器创建隐藏虚拟机以规避终端安全检测。通过在虚拟机内运行恶意程序，攻击者可隐匿窃取凭证、外传数据并部署勒索软件，典型案例包括2025年末出现的STAC4713活动（利用VPN漏洞部署payoutsking勒索软件）和2026年初的STAC3725活动（利用CitrixBleed2漏洞植入后门）。报告建议企业加强漏洞修复、多因素认证等措施应对此类威胁。 综合评分： 84 文章分类： 恶意软件,渗透测试,红队,内网渗透,漏洞分析

cover_image

隐藏虚拟机：黑客如何利用 QEMU 隐秘窃取数据并传播恶意软件

鹏鹏同学鹏鹏同学

黑猫安全

2026年4月20日 08:52 湖北

在小说阅读器读本章

去阅读

Sophos 研究人员指出，越来越多攻击者滥用开源模拟器 QEMU，在虚拟机中隐藏恶意活动。通过在虚拟机内运行恶意程序，攻击者可绕过终端安全防护机制，在主机系统中仅留下极少痕迹。该手段使其能够维持长期访问权限、窃取凭证、外传数据，并最终部署 PayoutsKing 等勒索软件。

该技术并非新型攻击手法，但使用频次正持续上升。多年来，威胁组织将 QEMU 用于多种用途，包括托管攻击工具、搭建通往命令与控制服务器的隐蔽隧道，以及在发动勒索软件攻击前部署后门。攻击者青睐 QEMU 以及 Hyper‑V、VMware 等同类平台，因其可提供隐蔽环境，大幅增加检测与取证分析难度，为攻击者争取更长的隐匿作案时间。

Sophos 发布的报告称：“滥用 QEMU 是威胁组织沿用多年的惯用手法。不过，Sophos 分析师发现，借助 QEMU 实现防御规避的相关案例数量显著增加，自 2025 年末以来已识别出两起独立攻击活动：STAC4713 与 STAC3725。”

STAC4713 攻击活动首次出现于 2025 年末，以牟利为目的，与 PayoutsKing 勒索软件相关联。攻击者依托 QEMU 虚拟机隐匿行为，在受侵网络中维持隐蔽访问权限。

攻击者通过创建计划任务 “TPMProfiler”，以系统权限运行隐藏虚拟机，其中磁盘镜像会伪装成数据库、动态链接库（DLL）等合法文件。他们通过端口转发实现持久化驻留，并搭建反向 SSH 隧道维持隐蔽远程访问以规避检测。在虚拟机内部，攻击者运行轻量级 Alpine Linux 环境，搭载隧道通信、代码混淆与数据传输工具，实现对受侵系统的隐秘操控。

攻击者还利用系统合法工具窃取凭证、复制活动目录数据库、遍历网络共享，将恶意行为伪装成正常操作。

报告补充道：“多起入侵事件的初始入侵方式各不相同。早期事件利用未启用多因素认证（MFA）的暴露 SonicWall VPN 漏洞，而 2026 年 1 月的一起事件则利用了 SolarWinds Web Help Desk 漏洞（CVE‑2025‑26399）。2 月，微软与 Huntress 也报告了针对该漏洞的同类利用行为，最终导致 QEMU 被部署。”

STAC4713 攻击活动与数据窃取及 PayoutsKing 勒索软件部署密切相关，溯源至 GOLD ENCOUNTER 组织。该组织自 2025 年中期开始活跃，针对 VMware、ESXi 等虚拟化环境，以独立模式运作，并非勒索软件即服务（RaaS）模式。

自 2026 年初起，攻击者调整战术，不再依赖基于 QEMU 的访问方式，转而利用暴露的 VPN 漏洞，并通过钓鱼邮件、借助微软 Teams 伪造 IT 技术支持等社会工程学手段，诱骗用户安装远程控制工具。他们还滥用合法二进制文件进行恶意软件旁加载，并使用 Rclone 等工具将数据外传至远程服务器，展现出灵活多变、持续演进的攻击策略。

Sophos 表示：“STAC4713 攻击活动极有可能与数据窃取及 PayoutsKing 勒索软件部署相关。威胁对抗研究部门（CTU）研究员将 2025 年中期出现的 PayoutsKing 勒索软件及其敲诈活动，归属于 GOLD ENCOUNTER 威胁组织。Sophos 分析显示，该组织主攻虚拟机管理程序，拥有可针对 VMware 与 ESXi 环境的加密器。PayoutsKing 运营者明确表示，其不采用勒索软件即服务模式，也不与附属团伙合作，这表明观测到的各起事件在战术上的差异，系攻击者刻意选择，而非不同威胁组织所为。”

Sophos 分析的另一起攻击活动编号为 STAC3725，于 2026 年初首次现身。该活动利用 CitrixBleed2 漏洞获取访问权限，随后安装恶意 ScreenConnect 客户端实现持久化驻留与远程控制。攻击者新建管理员账户、部署远程访问软件，并启动 QEMU 虚拟机，运行工具开展侦察与凭证窃取。

在虚拟机内，攻击者手动搭建包含 Impacket、BloodHound、Kerbrute、Metasploit 在内的工具集，用于网络拓扑测绘与敏感数据提取。他们还通过修改注册表、关闭防护功能、安装存在漏洞的驱动程序等方式削弱防御体系。

入侵后的后续行为各不相同，表明部分访问权限可能被转售给其他组织。部分案例中，攻击者部署更多管理工具以维持驻留；另一些案例中则使用加密连接、窃取浏览器数据、关闭安全防护，以实现长期控制。

报告同时给出了针对上述攻击活动的防护建议、防御措施及入侵指标。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全鹏鹏同学鹏鹏同学《隐藏虚拟机：黑客如何利用 QEMU 隐秘窃取数据并传播恶意软件》