黑客把虚拟机玩成了隐身衣：QEMU后门攻击实录|qemu|vmware|宿主机|攻击|虚拟机|隐身衣|黑客

你公司的安全软件可能正在盯着所有进程，却完全看不见隔壁房间里发生的犯罪——因为攻击者把犯罪现场搬进了一台"隐形"的虚拟机里。

Sophos最近追踪到两起真实攻击：黑客用开源工具QEMU在企业内部搭建隐藏虚拟机，偷凭证、部署勒索软件，而主机上的EDR（端点检测与响应）全程沉默。这不是概念验证，是2025年底就开始发生的实战。

为什么选QEMU？开源工具的"灯下黑"

QEMU是个正经工具。开发者用它测试软件、运维用它跑虚拟机、个人用户偶尔拿来玩复古系统。它完全合法、免费下载、文档齐全。

但正是这些特性让它成了完美的攻击载体。

传统安全软件的盲区在于：它们监控的是宿主机的进程和网络，而QEMU启动的虚拟机运行在自己的隔离环境里。宿主机看到的只是一个叫qemu-system-x86_64.exe的进程在"正常工作"，至于虚拟机里面在跑什么——偷域管凭证、扫描内网、加密文件——一概不可见。

Sophos分析师的原话很直接：「恶意活动在虚拟机内部运行时，对大多数端点保护工具来说本质上是不可见的。」

更麻烦的是取证。攻击结束后，虚拟硬盘文件一删，几乎不留痕迹。 investigators（调查人员）想还原攻击链？难度翻倍。

第一起攻击：PayoutsKing的"TPMProfiler"把戏

2025年11月，Sophos首次发现STAC4713攻击活动。幕后黑手是GOLD ENCOUNTER团伙，他们运营的PayoutsKing勒索软件有个特点：不走RaaS（勒索软件即服务）模式，亲自下场干活。

这个团伙对虚拟化环境有执念——他们专门开发针对VMware和ESXi平台的加密器。用QEMU做后门，算是把"虚拟化攻击"玩到了极致。

他们的入侵链条设计得很细：

第一步，创建一个名叫"TPMProfiler"的计划任务。名字起得妙，TPM（可信平台模块）是正经安全组件，Profiler是常见系统工具，混在一起像系统自带的东西。

这个任务以SYSTEM权限运行QEMU可执行文件，启动一个预配置好的虚拟硬盘。为了躲检测，虚拟硬盘文件先后换过两次马甲：早期伪装成vault.db，2026年1月改成bisrv.dll——都是系统目录里可能出现的文件名。

文件扩展名选得也有讲究。.db和.dll都是常见类型，不会触发异常告警。把虚拟硬盘塞进系统文件夹，和 legitimate（合法的）文件混在一起，监控工具扫过去很难分辨。

计划任务启动后，还会配置端口转发规则。攻击者从外部连进来，流量指向的是QEMU虚拟机的内部IP，宿主机防火墙看到的只是本地进程通信。

虚拟机里跑什么？根据Sophos分析，主要是两件事情：一是用Mimikatz之类的工具抓取域凭证，二是为后续勒索软件部署做准备。所有操作都在隔离环境里完成，宿主机上的EDR只能看到QEMU进程在"正常使用内存和CPU"。

第二起攻击：CitrixBleed2漏洞+QEMU组合拳

2026年2月出现的STAC3725活动，入口点完全不同，但核心思路一致。

攻击者先利用CitrixBleed2漏洞（CVE-2025-5777）打进目标网络。这是个已知漏洞，但补丁覆盖率永远达不到100%，总有企业拖着没修。

拿到初始访问权限后，他们部署恶意ScreenConnect客户端维持持久化——这是远程桌面软件的合法组件，被滥用做后门很隐蔽。然后才是重头戏：安装QEMU虚拟机，专门针对受害者的Active Directory环境做凭证窃取。

两起攻击的时间线值得注意：STAC4713从2025年11月持续到2026年初，STAC3725在2026年2月出现。Sophos明确说，这种技术"并非全新"，但QEMU相关事件近期明显上升，说明正在被更多 sophisticated（老练的）攻击团伙采纳。

攻击者的成本账：为什么QEMU比商业软件更香

这里有个反直觉的点：攻击者明明可以偷用VMware Workstation或者Hyper-V的许可证，为什么偏爱开源的QEMU？

答案在部署灵活性和检测规避的平衡上。

VMware和Hyper-V需要安装驱动、注册系统服务，留下的痕迹多。企业环境里如果突然冒出VMware进程，管理员可能警觉——"我们没采购这个啊？"

QEMU是绿色软件，单文件可运行，不需要管理员权限就能启动基础功能（虽然攻击者通常会提权到SYSTEM）。更关键的是，它不像商业虚拟化软件那样有固定的进程签名和行为模式，安全厂商的规则库覆盖没那么全。

文件体积也是优势。一个精简的QEMU环境加上微型Linux镜像，可以压缩到几十MB，藏在正常系统文件里很难被发现。

攻击者还玩了一手"扩展名变形"。虚拟硬盘文件本质上是个二进制容器，改后缀不影响QEMU读取，但能骗过基于扩展名的简单扫描规则。vault.db像数据库文件，bisrv.dll像系统DLL，都是"应该出现在这里"的文件类型。

防御方的困境：看不见的战争

这类攻击戳中了企业安全架构的一个结构性弱点：我们假设"能看到的才能保护"，但虚拟机内部对宿主机安全软件来说是个黑箱。

现有的EDR产品大多依赖内核驱动监控进程行为、网络连接和文件操作。QEMU作为用户态程序运行，它内部的虚拟CPU、虚拟内存、虚拟网卡对宿主机内核来说只是普通的内存分配和I/O请求。虚拟机里的恶意进程没有对应的宿主机进程ID，网络流量被封装在QEMU的单一连接里。

Sophos提到的取证困难是真实痛点。传统调查会检查浏览器历史、临时文件、注册表残留、日志记录。但QEMU虚拟机可以配置成完全内存运行，关机即销毁；即使落盘，虚拟硬盘文件用的是自定义格式，需要专门工具解析。攻击者再删掉虚拟硬盘， investigators 能拿到的只剩一个QEMU可执行文件和几条计划任务记录。

更隐蔽的是时间窗口。攻击者可以在夜间启动虚拟机批量偷凭证，凌晨关机，白天企业正常运营时没有任何异常进程。这种"定时出现"的模式，让基于持续监控的检测机制很难捕捉。

可能的应对方向：从"看进程"到"看异常"

防御QEMU滥用没有银弹，但有几个思路值得安全团队考虑。

行为基线是关键。QEMU在企业环境里通常有特定用途——开发测试、兼容性验证。如果它出现在域控制器上、以SYSTEM权限运行、伴随计划任务和端口转发，这些组合本身就是异常信号。

文件层面可以盯扩展名欺骗。vault.db和bisrv.dll如果出现在非预期目录，或者文件头不是对应格式（比如DLL文件没有PE头），值得深入检查。QEMU虚拟硬盘有特定的Magic Number，可以编写规则识别。

网络流量分析是另一个突破口。虚拟机里的恶意活动最终要对外通信，无论是回连C2还是横向移动。虽然流量被QEMU封装，但连接模式、时间分布、数据特征仍可能暴露异常——比如深夜突然出现的大量SMB连接指向域控。

最根本的可能是重新考虑虚拟化权限。普通用户是否需要运行QEMU？如果需要，能否限制网络访问、禁止加载外部磁盘镜像？这些策略会牺牲部分便利性，但在高敏感环境可能是必要权衡。

Sophos的研究数据很具体：两起攻击活动，STAC4713始于2025年11月，STAC3725始于2026年2月，都还在活跃。GOLD ENCOUNTER团伙不玩RaaS那套分销模式，亲自操作意味着攻击质量更高、定制化更强。PayoutsKing勒索软件专门针对虚拟化平台，说明攻击者对目标环境的理解深度。