RansomwareHackerangriffeSchwachstellen

Cyberkriminelle missbrauchen QEMU-Emulator für Ransomware-Attacken

Cyberkriminelle missbrauchen QEMU-Emulator für Ransomware-Attacken
Zusammenfassung

Sicherheitsforschern von Sophos zufolge missbrauchen Cyberkriminelle zunehmend QEMU, einen quelloffenen Virtual-Machine-Emulator, für Angriffskampagnen zur Verteilung von Ransomware und Remote-Access-Tools. Seit Ende 2025 dokumentieren Experten einen deutlichen Anstieg solcher Attacken. In mindestens zwei separaten Kampagnen – darunter die im November 2025 entdeckte Operation STAC4713, die mit der PayoutsKing-Ransomware verknüpft ist – nutzen Angreifer QEMU als verdeckten SSH-Backdoor zur Payload-Bereitstellung und Credential-Harvesting. Die Täter exploitieren zunächst Schwachstellen in Unternehmens-Software wie SonicWall VPNs oder SolarWinds Web Help Desk, um Zugang zu Systemen zu erlangen, und installieren dann QEMU-basierte virtuelle Maschinen zur Persistenzsicherung. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere für Organisationen mit vernetzten Infrastrukturen, virtualisierter Umgebung und unzureichenden Zugriffskontrollen. Sicherheitsexperten empfehlen Organisationen, gezielt nach unauthorisierten QEMU-Installationen, verdächtigen Scheduled Tasks und ungewöhnlichen SSH-Tunneln zu suchen, um potenzielle Kompromittierungen frühzeitig zu erkennen.

QEMU ist ein weit verbreitetes Virtualisierungswerkzeug, das es Nutzern erlaubt, virtuelle Maschinen auf ihren Systemen auszuführen. Die Tatsache, dass Hacker dieses legitime Tool für böswillige Zwecke missbrauchen, unterstreicht eine grundlegende Herausforderung der Cybersicherheit: Die Grenzlinie zwischen sicheren und unsicheren Anwendungen verschwimmt zunehmend.

Die erste dokumentierte Kampagne, gekennzeichnet als STAC4713, steht in Verbindung mit der PayoutsKing-Ransomware und wird der Hacker-Gruppe Gold Encounter zugeordnet. Diese Gruppe zielt normalerweise auf VMware- und ESXi-Umgebungen ab. Ihre Angriffsmethodik offenbarte eine ausgefeilte Vorgehensweise: Zunächst exploitierten die Angreifer ungeschützte SonicWall-VPN-Systeme ohne Multi-Faktor-Authentifizierung. Später wechselten sie zur Ausnutzung von CVE-2025-26399, einer Remote-Code-Execution-Lücke in SolarWinds Web Help Desk.

Besonders raffiniert war die Nutzung von geplanten Windows-Aufgaben, um QEMU mit Systemrechten zu starten. Die virtuelle Festplatte initialisierte automatisch einen Reverse-SSH-Tunnel, der den Angreifern direkten Zugriff auf die emulierte Umgebung gewährte. Von dort aus konnten die Hacker Active-Directory-Datenbanken kopieren, Shadow-Copies erstellen und Netzwerk-Shares erkunden.

Eine zweite Kampagne, STAC3725, wurde im Februar 2026 entdeckt. Sie nutzte CVE-2025-5777, ein kritisches Sicherheitsloch in Citrix NetScaler, für den initialen Zugriff. Nach erfolgreicher Kompromittierung installierten die Angreifer einen ScreenConnect-Client und zogen anschließend QEMU sowie VM-Images herunter. Die nachfolgenden Aktivitäten deuteten darauf hin, dass Initial-Access-Broker die Systeme zuerst kompromittierten und dann Zugriff an spezialisierte Angreifer verkauften.

Für Sicherheitsverantwortliche in deutschen Unternehmen empfiehlt Sophos, gezielt nach unbefugten QEMU-Installationen, verdächtigen geplanten Aufgaben, ungewöhnlichen Port-Weiterleitungsregeln und ausgehenden SSH-Verbindungen zu suchen. Dies sind zuverlässige Indikatoren für einen möglichen Compromise. Die Vorfälle demonstrieren eindrucksvoll, wie Cyberkriminelle legitime Sicherheits- und Virtualisierungswerkzeuge in Waffen verwandeln, wenn Organisationen ihre Infrastruktur nicht ausreichend absichern.

Ähnliche Artikel