In der STAC4713-Kampagne legen die Angreifer laut Sophos eine geplante Aufgabe namens „TPMProfiler" an, um eine versteckte QEMU-VM mit SYSTEM-Rechten zu starten. Sie verwenden virtuelle Festplattendateien, die als Datenbanken und DLL-Dateien getarnt sind, und richten Portweiterleitungen ein, um über einen umgekehrten SSH-Tunnel verdeckten Zugriff auf den infizierten Host zu erhalten. Die VM führt Alpine Linux in Version 3.22.0 aus und enthält Angreiferwerkzeuge wie AdaptixC2, Chisel, BusyBox und Rclone.

Der initiale Zugriff erfolgte Sophos zufolge über exponierte SonicWall-VPNs; in jüngeren Angriffen wurde zudem die Ausnutzung der SolarWinds-Web-Help-Desk-Schwachstelle CVE-2025-26399 beobachtet. In der Phase nach der Infektion nutzten die Akteure VSS (vssuirun.exe), um eine Schattenkopie anzulegen, und kopierten anschließend mit dem print-Befehl über SMB die Dateien NTDS.dit, SAM und SYSTEM in temporäre Verzeichnisse.

Jüngere dem Akteur zugeschriebene Vorfälle stützten sich auf andere Zugangswege. Bei einem Angriff im Februar setzte GOLD ENCOUNTER ein exponiertes Cisco-SSL-VPN ein; im März gaben sich die Angreifer als IT-Personal aus und brachten Beschäftigte über Microsoft Teams dazu, QuickAssist herunterzuladen und zu installieren. „In beiden Fällen nutzten die Angreifer die legitime Binärdatei ADNotificationManager.exe, um per Sideloading eine Havoc-C2-Nutzlast (vcruntime140_1.dll) zu laden, und exfiltrierten anschließend mithilfe von Rclone Daten an einen entfernten SFTP-Speicherort", so Sophos.

Einem Bericht von Zscaler aus dieser Woche zufolge ist Payouts King wahrscheinlich mit ehemaligen BlackBasta-Affiliates verbunden – abgeleitet aus ähnlichen Zugangsmethoden wie Spam-Bombing, Microsoft-Teams-Phishing und dem Missbrauch von Quick Assist. Die Schadsoftware setzt auf starke Verschleierung und Anti-Analyse-Mechanismen, verankert sich über geplante Aufgaben und beendet Sicherheitswerkzeuge über systemnahe Aufrufe. Zur Verschlüsselung kommt AES-256 (CTR) in Kombination mit RSA-4096 zum Einsatz, bei größeren Dateien mit intermittierender Verschlüsselung. Die hinterlassenen Erpresserschreiben verweisen die Opfer auf Leak-Seiten im Darknet.

Die zweite Kampagne (STAC3725) ist seit Februar aktiv und nutzt CitrixBleed 2 für den initialen Zugriff. Nach der Kompromittierung von NetScaler-Geräten spielen die Angreifer ein ZIP-Archiv mit einer schädlichen ausführbaren Datei aus, die einen Dienst namens „AppMgmt" installiert, einen neuen lokalen Administrator (CtxAppVCOMService) anlegt und zur Persistenz einen ScreenConnect-Client einrichtet. Dieser verbindet sich mit einem entfernten Relay-Server, baut eine Sitzung mit Systemrechten auf und entpackt ein QEMU-Paket, das über ein eigenes qcow2-Image eine versteckte Alpine-Linux-VM betreibt.

Statt eines fertigen Werkzeugkastens installieren und kompilieren die Angreifer ihre Tools manuell innerhalb der VM, darunter Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute und Metasploit. Beobachtet wurden das Abgreifen von Anmeldedaten, die Aufzählung von Kerberos-Benutzernamen, Active-Directory-Erkundung sowie das Bereitstellen von Daten für die Exfiltration über FTP-Server.

Sophos empfiehlt Organisationen, gezielt nach unautorisierten QEMU-Installationen, verdächtigen geplanten Aufgaben mit SYSTEM-Rechten, ungewöhnlicher SSH-Portweiterleitung und ausgehenden SSH-Tunneln auf nicht standardmäßigen Ports zu suchen.