Nuevo ransomware utiliza máquinas virtuales para evadir las medidas de seguridad
Hackers descubren una forma insólita de burlar los métodos habituales de vigilancia.
Los ciberdelincuentes cada vez más ocultan actividad maliciosa allí donde las soluciones de seguridad casi no ven nada. Un nuevo análisis de Sophos muestra que, para acceso encubierto, robo de datos y preparación de cifradores, los atacantes han comenzado a usar con más frecuencia QEMU — una herramienta legal de virtualización que ayuda a ejecutar en la máquina infectada un entorno virtual imperceptible para las soluciones de protección.
Según Sophos, desde finales de 2025 los especialistas han registrado al menos dos campañas separadas en las que QEMU se convirtió en un elemento clave del ataque. En una de ellas, STAC4713, los delincuentes desplegaban una máquina virtual oculta mediante la tarea TPMProfiler ejecutada con privilegios SYSTEM.
Dentro de ese entorno colocaban un conjunto de herramientas para acceso remoto, robo de credenciales y extracción de información. Para camuflar la imagen del disco virtual la presentaban a veces como archivo de base de datos, a veces como biblioteca DLL, y la conexión con la infraestructura externa la establecían mediante túneles SSH inversos.
Sophos vincula STAC4713 con la distribución del ransomware PayoutsKing. Los analistas creen que la operación podría estar relacionada con el grupo GOLD ENCOUNTER, que se centra en ataques contra infraestructura virtualizada, incluyendo VMware y ESXi.
Durante la investigación los especialistas también observaron un cambio de táctica: si antes los atacantes entraban con más frecuencia a través de VPN mal protegidas y la vulnerabilidad de SolarWinds Web Help Desk, en febrero y marzo de 2026 surgieron episodios con Cisco SSL VPN, así como campañas de envío de correos y engaños a empleados vía Microsoft Teams que conllevaban la posterior descarga de QuickAssist.
La segunda campaña, STAC3725, comenzó en febrero de 2026 y explotó la vulnerabilidad CitrixBleed2 en NetScaler. Tras la intrusión, los atacantes instalaban el cliente malicioso ScreenConnect, creaban un nuevo administrador local y después ejecutaban QEMU con una imagen de Alpine Linux.
A diferencia del primer esquema, aquí los delincuentes no llevaban un conjunto de utilidades listo, sino que montaban la colección directamente dentro de la máquina virtual. Para reconocimiento en Active Directory, ataques de fuerza bruta sobre nombres Kerberos, robo de datos y preparación de pasos posteriores se empleaban Impacket, BloodHound, Kerbrute, Metasploit y otras herramientas.
El principal peligro de este esquema es que la actividad maliciosa se desplaza al interior de la máquina virtual y apenas deja rastros en el sistema principal. Este enfoque proporciona a los atacantes acceso oculto de larga duración, facilita el movimiento lateral en la red y ayuda a preparar sin ser detectado un ataque con ransomware.
Sophos recomienda comprobar el entorno en busca de instalaciones no autorizadas de QEMU, tareas sospechosas que se ejecuten en nombre de SYSTEM, redirecciones de puertos SSH no estándar y archivos inusuales de discos virtuales.