Se ha emitido una advertencia de ciberseguridad sobre una preocupante evolución en las tácticas de “Vivir de la Tierra” (Living off the Land). Actores de amenazas sofisticados están armando QEMU, un emulador y virtualizador de hardware de código abierto legítimo, para crear puertas traseras (backdoors) encubiertas dentro de entornos corporativos. Esta técnica permite a los cibercriminales establecer persistencia, robar credenciales de dominio y desplegar ransomware evadiendo por completo las alertas de seguridad tradicionales. Al ejecutar sus herramientas maliciosas dentro de una Máquina Virtual (VM) oculta, eluden la visibilidad de los agentes de protección de endpoints (EDR/XDR) instalados en el sistema anfitrión (host).
Anatomía del Ataque
Investigaciones recientes han identificado dos campañas distintas, rastreadas como STAC4713 (vinculada al grupo GOLD ENCOUNTER y al ransomware PayoutsKing) y STAC3725, que utilizan QEMU como núcleo de su estrategia de evasión:
- Vectores de Acceso y Persistencia: En la campaña STAC3725, los atacantes logran el acceso inicial explotando vulnerabilidades conocidas como CitrixBleed2 (CVE-2025-5777) y posteriormente instalan clientes legítimos de ScreenConnect para mantener el acceso. En la STAC4713, la infección comienza programando una tarea de Windows llamada “TPMProfiler” que se ejecuta bajo la cuenta SYSTEM.
- Despliegue de la VM Oculta (QEMU): La tarea programada ejecuta el binario de QEMU (qemu-system-x86_64.exe). Para evitar la detección del disco virtual que alimenta a QEMU, los atacantes utilizan extensiones de archivo inusuales. Por ejemplo, ocultan el disco virtual como vault.db o como una falsa DLL (bisrv.dll), logrando que se mezcle con los archivos normales del sistema.
- Túnel de Acceso Remoto: Al iniciarse, la VM de QEMU (basada en Alpine Linux) establece un reenvío de puertos personalizado (ej. del 32567 y 22022 hacia el puerto 22) y crea un túnel SSH inverso utilizando herramientas como AdaptixC2 u OpenSSH. Esto genera un canal de acceso remoto furtivo que burla las inspecciones de red estándar.
- Operaciones en el “Punto Ciego”: Una vez establecida la conexión, los atacantes operan desde dentro de la VM. Al estar en un entorno virtualizado no gestionado por el SOC, el EDR del servidor anfitrión está ciego. Desde la VM oculta, los actores lanzan ataques de enumeración (BloodHound), robo de credenciales (Kerbrute, Impacket), y utilizan proxies (Chisel) para moverse lateralmente y preparar el despliegue del ransomware.
Impacto
El uso de la técnica Bring Your Own VM (BYOVM) a través de QEMU presenta un desafío crítico para la respuesta a incidentes:
- Evasión Total de EDR: Las soluciones de seguridad de endpoint que monitorean el sistema operativo anfitrión no pueden inspeccionar la memoria ni los procesos que se ejecutan dentro del emulador QEMU, creando un punto ciego perfecto.
- Carencia de Artefactos Forenses: Dado que los comandos maliciosos y las herramientas de hacking residen en el disco virtual de QEMU, dejan escasos o nulos registros o huellas forenses en el sistema Windows anfitrión.
- Compromiso Rápido del Dominio: Utilizando esta base de operaciones invisible, los grupos logran mapear y comprometer Active Directory con total impunidad antes de lanzar ataques de cifrado masivo.
Recomendaciones y Mitigación
Los equipos de SOC y administración de red deben ejecutar controles compensatorios enfocados en detectar la infraestructura del emulador en lugar del malware en sí:
- Auditoría de Binarios y Procesos: Instruir a los sistemas EDR para que bloqueen o alerten sobre la ejecución de binarios de QEMU (ej. qemu-system-x86_64.exe, qemu-img.exe) en servidores de producción o estaciones de trabajo donde no exista una justificación técnica o de desarrollo (Application Whitelisting).
- Monitorización de Tareas Programadas: Vigilar la creación anómala de tareas programadas que se ejecuten bajo la cuenta SYSTEM y que invoquen binarios sospechosos con múltiples parámetros de línea de comandos (frecuentes en la configuración de arranque de QEMU).
- Detección de Discos Virtuales Ofuscados: Realizar cacería de amenazas (Threat Hunting) en busca de archivos grandes inusuales que posean extensiones anómalas (como .db, .dll, .qcow2) almacenados en rutas públicas o temporales de Windows (ProgramData, AppData).
- Control Perimetral: Reforzar las reglas del cortafuegos para detectar y bloquear el reenvío de puertos inusual (ej. conexiones entrantes a puertos altos que se redirigen localmente al puerto 22 SSH) e inspeccionar túneles SSH de salida no estándar utilizando terminación/descifrado TLS.
