Unsichtbare Angriffe: Wie QEMU zur Tarnkappe für Hacker wird : Virtuelle Maschinen hebeln klassische Sicherheitskontrollen aus
Cyberkriminelle missbrauchen Virtualisierungstools wie QEMU, um unbemerkt in IT-Systemen zu agieren. Neue Analysen zeigen, wie Angreifer Sicherheitslösungen gezielt umgehen – und warum Unternehmen ihre Abwehrstrategien dringend anpassen müssen.
Der Missbrauch legitimer Tools gehört längst zum Standardrepertoire moderner Angreifer. Besonders Virtualisierungslösungen wie QEMU (Quick Emulator, ein Open-Source-Maschinenemulator und Virtualisierungs-Tool) entwickeln sich dabei zu einem gefährlichen „Security-Blindspot“: Aktivitäten innerhalb virtueller Maschinen bleiben für klassische Endpunktschutzsysteme oft unsichtbar – und hinterlassen kaum verwertbare Spuren auf dem Host-System.
Analysen von Sicherheitsexperten zeigen nun, dass der Einsatz solcher Techniken deutlich zunimmt. Neben etablierten Hypervisoren setzen Angreifer verstärkt auf QEMU, um ihre Operationen zu verschleiern und langfristig Zugriff auf kompromittierte Systeme zu sichern.
Versteckte Infrastruktur als Einfallstor
Virtuelle Maschinen (VMs) bieten Angreifern eine abgeschottete Umgebung, in der sie Tools ausführen, Daten sammeln und Angriffe vorbereiten können, ohne direkt entdeckt zu werden. Diese Isolation erschwert sowohl die Erkennung als auch die forensische Analyse erheblich.
Zwei aktuelle Kampagnen verdeutlichen die Dimension dieses Trends: STAC4713 und STAC3725. Beide nutzen QEMU gezielt, um Sicherheitsmechanismen zu umgehen und Angriffe effizient zu orchestrieren.
Gezielte Angriffe statt Massenware
Die Kampagne STAC4713, die seit Ende 2025 beobachtet wird, ist finanziell motiviert und steht im Zusammenhang mit der PayoutsKing-Ransomware. Anders als bei klassischen Ransomware-as-a-Service-Modellen agieren die Täter hier offenbar eigenständig und kontrolliert.
Auffällig ist der Einsatz von QEMU als versteckte Backdoor: Über reverse SSH-Verbindungen werden Werkzeuge nachgeladen und Anmeldeinformationen abgegriffen. Die Angriffe beginnen häufig mit kompromittierten VPN-Zugängen oder Social-Engineering-Methoden, etwa durch Täuschung von Mitarbeitenden über Kommunikationsplattformen.
Manuelle Angriffe mit hoher Anpassungsfähigkeit
Noch komplexer zeigt sich die Kampagne STAC3725. Hier nutzen Angreifer gezielt Schwachstellen aus, um Zugang zu Systemen zu erhalten, und bauen ihre Angriffsumgebung anschließend manuell innerhalb einer QEMU-VM auf.
Statt fertiger Toolkits werden Werkzeuge individuell installiert und kompiliert. Die beobachteten Aktivitäten reichen von Active-Directory-Aufklärung über Credential Dumping bis hin zur Einrichtung eigener Datenkanäle für Exfiltration. Diese Flexibilität erschwert die Erkennung zusätzlich und deutet auf arbeitsteilige Angriffsmodelle hin, bei denen initiale Zugriffe weiterverkauft werden.
Neue Herausforderungen für die IT-Sicherheit
Der Einsatz versteckter virtueller Maschinen verschiebt die Anforderungen an Sicherheitsstrategien erheblich. Klassische Endpoint-Security greift zu kurz, wenn Angriffe in isolierten Umgebungen stattfinden.
Unternehmen müssen daher verstärkt auf Anomalieerkennung und Infrastrukturtransparenz setzen. Dazu gehört die Überwachung ungewöhnlicher Installationen von Virtualisierungstools, auffälliger Systemprozesse sowie unerwarteter Netzwerkverbindungen – insbesondere im Zusammenhang mit SSH-Tunneln.
Handlungsempfehlungen für Unternehmen
Um sich gegen diese neue Angriffsklasse zu wappnen, sollten Organisationen ihre Sicherheitsmaßnahmen gezielt erweitern. Dazu zählt die Prüfung auf nicht autorisierte QEMU-Installationen ebenso wie die Analyse verdächtiger geplanter Aufgaben, insbesondere mit erweiterten Systemrechten.
Auch Netzwerkaktivitäten verdienen besondere Aufmerksamkeit: Ungewöhnliche Portweiterleitungen oder ausgehende Verbindungen auf atypischen Ports können Hinweise auf versteckte Kommunikationskanäle liefern. Darüber hinaus sollten virtuelle Festplattenabbilder mit ungewöhnlichen Dateiendungen konsequent überprüft werden.
Der Trend ist klar: Angreifer nutzen zunehmend legitime Werkzeuge, um unter dem Radar zu bleiben. Wer diese Entwicklung unterschätzt, riskiert blinde Flecken in der eigenen Sicherheitsarchitektur – und öffnet Tür und Tor für schwer erkennbare Angriffe.
Weitere Schutzmaßnahmen haben die Experten von Sophos im neuen englischsprachigen Blog-Text „QEMU abused to evade detection and enable ransomware delivery“ zusammengestellt.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
