Современные шифровальщики всё чаще размещают вредоносные компоненты не рядом с системой, а прямо внутри неё. Группа Payouts King внедряет QEMU — платформу для запуска виртуальных машин — в заражённые устройства, создавая скрытый канал доступа. Такой метод затрудняет обнаружение вредоносного ПО антивирусами и системами EDR, поскольку они контролируют только основную ОС, не видя гостевую виртуальную машину.
QEMU, обычно используемый для эмуляции процессоров и системной виртуализации, позволяет запускать несколько ОС на одном устройстве. Вредоносные операторы хранят внутри виртуальной машины инструменты для дальнейшего взлома, управления сетью и организации SSH-туннелей. Ранее QEMU замечали в атаках группировок 3AM, LoudMiner и CRON#TRAP.
Исследователи Sophos подробно описали две кампании с использованием QEMU. Первая, STAC4713 (ноябрь 2025), связана с вымогателем Payouts King и группой GOLD ENCOUNTER, известной атаками на гипервизоры и шифровальщиками для VMware. Они создают задачу TPMProfiler, которая запускает виртуальную машину QEMU с правами SYSTEM, маскируя виртуальные диски под базы данных и DLL. Через SSH-туннели злоумышленники получают удалённый доступ.
Вторая кампания, STAC3725 (февраль 2026), использовала уязвимость CitrixBleed 2 для проникновения через устройства NetScaler. Там QEMU развёртывается вручную, а внутри гостевой системы устанавливается широкий набор утилит — Impacket, KrbRelayx, BloodHound.py и др. — для сбора данных и разведки в домене Active Directory.
Для начального доступа злоумышленники применяют уязвимости в VPN и SolarWinds, а также социальную инженерию через Microsoft Teams с Quick Assist. После проникновения происходит сбор теневых копий и ключевых файлов Windows для извлечения доменных учётных данных.
Отчёт Zscaler предполагает связь Payouts King с бывшими участниками BlackBasta по схожим методам доступа и техникам обхода защиты. Sophos отмечает сложную обфускацию, использование системных задач и отключение защитных средств.
Шифрование данных у Payouts King комбинированное: AES-256 для файлов и RSA-4096 для ключей. Для ускорения работы применяется прерывистое шифрование, а жертвы вынуждены платить выкуп под угрозой публикации украденной информации в даркнете.
Эксперты советуют искать признаки установки QEMU, подозрительные задачи с правами SYSTEM, необычные SSH-туннели и перенаправления портов. Такая тактика скрытия виртуальной машины внутри уже взломанной системы становится новым уровнем для кибератак, позволяя воровать данные и обходить защиту практически незаметно.
