- Las máquinas virtuales ocultas permiten a los atacantes eludir la seguridad de los terminales y pasar desapercibidos
- Los atacantes utilizan herramientas de virtualización confiables y software integrado para disfrazar la actividad maliciosa
- Sophos utiliza QEMU para vincular campañas con implementaciones de ransomware y acceso a la red a largo plazo
Los atacantes esconden cada vez más herramientas maliciosas dentro de las máquinas virtuales para eludir los controles de seguridad.
Los analistas de Sophos dicen que el enfoque se basa en software de virtualización que los sistemas de seguridad a menudo tratan como una actividad legítima.
En incidentes recientes, los atacantes utilizaron QEMU, un emulador y virtualizador de máquinas de código abierto, para ejecutar entornos ocultos donde la actividad maliciosa era en gran medida invisible para las defensas de los terminales y dejaba evidencia mínima en el sistema host.
El artículo continúa a continuación.
Una creciente tendencia a la evasión
Sophos señala que si bien el método no es nuevo, ha vuelto a ganar fuerza, con dos campañas activas, rastreadas como STAC4713 y STAC3725, que han sido identificadas desde finales del año pasado.
En la campaña STAC4713, los atacantes crearon una tarea programada llamada TPMPprofiler para iniciar una máquina virtual QEMU oculta con privilegios a nivel de sistema.
La máquina virtual utilizaba imágenes de disco disfrazadas, que primero aparecían como archivos de bases de datos y luego se hacían pasar por bibliotecas de vínculos dinámicos.
Una vez lanzada, la máquina virtual establece túneles SSH inversos que crean canales secretos de acceso remoto, lo que permite a los atacantes ejecutar herramientas y recopilar credenciales de dominio sin revelar actividad a las herramientas de seguridad tradicionales.
Los investigadores de Sophos también observaron que los atacantes utilizaban utilidades integradas de Windows, como Microsoft Paint, Notepad y Edge, para acceder a archivos y descubrir redes. Depende en gran medida de software confiable para combinar acciones maliciosas con el comportamiento rutinario del sistema.
Las intrusiones más antiguas vinculadas a la campaña utilizaron sistemas VPN abiertos sin autenticación multifactor, mientras que incidentes posteriores explotaron una vulnerabilidad en la mesa de ayuda web de SolarWinds rastreada como CVE-2025-26399. Estos variados puntos de entrada permiten a los atacantes ajustar sus tácticas según las vulnerabilidades disponibles.
Sophos vincula la campaña STAC4713 con el ransomware PayoutsKing, que se centra en cifrar entornos virtualizados.
El grupo detrás del ransomware parece apuntar a hipervisores e implementar herramientas que pueden funcionar en sistemas VMware y ESXi.
La segunda campaña, STAC3725, se basa en explotar la vulnerabilidad CitrixBleed2 para obtener acceso inicial antes de instalar el software de acceso remoto.
Luego, los atacantes inician una máquina virtual QEMU para ensamblar manualmente las herramientas de ataque para el robo de credenciales y la recuperación de la red.
En lugar de entregar cargas útiles listas para usar, los atacantes compilan sus conjuntos de herramientas dentro de máquinas virtuales después de obtener acceso. Este enfoque les permite personalizar sus ataques y reducir la probabilidad de ser detectados por defensas basadas en firmas.
Sophos advierte que la actividad oculta dentro de las máquinas virtuales representa una tendencia de evasión creciente. Una sólida seguridad de los terminales, la supervisión de la red y la aplicación oportuna de parches a los sistemas expuestos son fundamentales para mitigar el riesgo.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
