QEMU is de afgelopen maanden gebruikt voor het verspreiden van ransomware en backdoors, zo stelt securitybedrijf Sophos. QEMU is een opensource emulator en virtualisatiesoftware waarmee het mogelijk is om een virtual machine te draaien. Aanvallers maken gebruik van QEMU om een virtual machine te starten die vervolgens wordt gebruikt voor het uitvoeren van aanvallen.

Volgens Sophos is het gebruik van QEMU een techniek die al jaren door aanvallers wordt toegepast. Zo werd het in 2020 al door securitybedrijf Mandiant gedocumenteerd. In 2024 waarschuwde antivirusbedrijf Kaspersky voor het gebruik van QEMU voor het opzetten van een verborgen netwerktunnel. In 2025 documenteerde Sophos zelf het gebruik van QEMU voor het installeren van een backdoor en uiteindelijk de verspreiding van ransomware.

De afgelopen maanden zag Sophos twee verschillende campagnes waarbij QEMU werd gebruikt. De eerste campagne, aangeduid als STAC4713, werd voor het eerst in november 2025 waargenomen. De aanvallers maken gebruik van QEMU als een verborgen reverse SSH-backdoor om tools te installeren en domeinwachtwoorden te stelen. Om QEMU te installeren maken de aanvallers gebruik van een geplande taak genaamd 'TPMProfiler'. Deze taak start een QEMU virtual machine (qemu-system-x86_64.exe) onder het SYSTEM-account via een virtual hard disk image die een ongebruikelijke extensie heeft.

De geplande taak maakt ook een port forward van poort 32567 en 22022 naar poort 22 (SSH). Bij het opstarten maakt de virtual machine een reverse SSH-tunnel naar een remote ip-adres. Zo krijgen de aanvallers toegang tot de virtual machine. De virtual machine bevat een Alpine 3.22.0 disk image met allerlei tools van de aanvallers.

De aanvallers weten via verschillende methodes toegang tot de organisaties te krijgen. Zo werd er gebruikgemaakt van SonicWall VPN's die geen multifactorauthenticatie (MFA) gebruikten. Ook werd er een kwetsbaarheid in de Web Help Desk van SolarWinds gebruikt.

De tweede campagne die Sophos waarnam, aangeduid als STAC3725, werd voor het eerst in februari 2026 waargenomen. De aanvallers maken hierbij gebruik van een kwetsbaarheid in Citrix NetScaler om toegang te krijgen. Vervolgens wordt er een malafide ScreenConnect client geïnstalleerd om persistentie te behouden. De aanvallers installeren vervolgens een QEMU virtual machine om aanvullende tools te installeren voor het uitvoeren van enumeration en het stelen van inloggegevens.

Volgens Sophos laten de aanvallen zien dat aanvallers steeds vaker gebruikmaken van legitieme virtualisatiesoftware om malafide acties voor endpointbeveiligingssoftware en audit logs te verbergen. Een virtual machine met een vooraf geïnstalleerde of gecompileerde toolkit kan aanvallers langetermijntoegang tot een netwerk geven, waarmee het mogelijk is om malware te installeren, inloggegevens te stelen en lateraal door het netwerk te bewegen, zonder dat er sporen op het host-systeem achterblijven.