تتجه الجهات الخبيثة حالياً إلى استغلال برنامج QEMU، وهو محاكي مفتوح المصدر للآلات الافتراضية، كسلاح جديد لتنفيذ هجمات خفية تهدف إلى سرقة بيانات الاعتماد ونشر برامج الفدية دون إثارة إنذارات أنظمة الحماية.
يُشكل هذا التحول في سلوك المهاجمين تطوراً مقلقاً، إذ يتم تحويل أدوات برمجية متاحة بسهولة وتُعتبر موثوقة إلى أسلحة فعالة للتخفي داخل البيئات المؤسسية.
يُعد QEMU، الذي يستخدم على نطاق واسع في المحاكاة الافتراضية واختبار البرمجيات، هدفاً جذاباً للمهاجمين بسبب قدرته على إخفاء الأنشطة الضارة داخل الآلات الافتراضية، مما يجعلها غير مرئية لأنظمة الحماية التقليدية.
لا تستطيع أدوات الأمان المثبتة على النظام المضيف رؤية ما يحدث داخل الجهاز الافتراضي المخفي، كما أن هذه الهجمات تترك آثاراً قليلة جداً يمكن للمحققين استعادتها، مما يجعل اكتشاف هجمات QEMU واحتوائها في الوقت الفعلي أمراً بالغ الصعوبة.
يقوم محللو الأمن في شركة Sophos حالياً بالتحقيق في إساءة استخدام QEMU من قبل جهات تهديدية تقوم بتشغيل أجهزة افتراضية مخفية لإخفاء عملياتها، وجمع بيانات اعتماد الشبكة، وتنفيذ هجمات برامج الفدية ضد المنظمات المستهدفة.
حدد التحليل الذي أجرته الشركة حملتين هجوميتين منفصلتين تعملان منذ أواخر عام 2025، وهما STAC4713 و STAC3725، وكلاهما تستغل تقنية المحاكاة الافتراضية كاستراتيجية أساسية للتخفي.
أشار المحللون إلى أن هذه التقنية ليست جديدة كلياً، لكن الزيادة الأخيرة في الحوادث المتعلقة بـ QEMU تشير إلى اتجاه متزايد بين مجموعات التهديد المتطورة.
ترتبط حملة STAC4713، التي تم رصدها لأول مرة في نوفمبر 2025، مباشرة بعملية برامج الفدية PayoutsKing، وتُعزى إلى مجموعة تهديد تُعرف باسم GOLD ENCOUNTER.
ظهرت PayoutsKing في منتصف عام 2025، وهي لا تعمل بنموذج “برامج الفدية كخدمة”، مما يعني أن المجموعة تنفذ الهجمات مباشرة بدلاً من الاعتماد على شركاء.
تكشف تحليلات Sophos أن المجموعة تستهدف بيئات المحاكاة الافتراضية بشكل خاص، وطورت برامج تشفير مصممة لمنصتي VMware و ESXi.
أما الحملة الثانية، STAC3725، فقد ظهرت لأول مرة في فبراير 2026، وتستغل الثغرة الأمنية CitrixBleed2 (CVE-2025-5777) كنقطة دخول أولية.
بعد الحصول على الوصول، يقوم المهاجمون بتثبيت عميل ScreenConnect خبيث للحفاظ على الاستمرارية، ثم ينشرون جهازاً افتراضياً يعمل بنظام QEMU لتنفيذ عمليات سرقة بيانات الاعتماد ضد بيئة Active Directory الخاصة بالضحية.
كيف يتحول QEMU إلى سلاح خفي
تبدأ سلسلة العدوى المستخدمة في حملة STAC4713 بإنشاء المهاجمين لمهمة مجدولة باسم “TPMProfiler”، والتي تقوم بتشغيل البرنامج التنفيذي لـ QEMU (qemu-system-x86_64.exe) تحت حساب النظام (SYSTEM).
يتم تشغيل المهمة باستخدام صورة قرص افتراضية تستخدم امتدادات ملفات غير شائعة لتجنب الكشف، والتي تم تمويهها سابقاً باسم vault.db، ثم تم تغييرها لاحقاً إلى ملف DLL باسم bisrv.dll في يناير 2026.
يُعد هذا التمويه الذكي للملف خطوة متعمدة لجعل القرص الافتراضي يندمج مع ملفات النظام الشرعية ويتجاوز أدوات المراقبة الأمنية.
بمجرد تشغيل المهمة المجدولة، تقوم أيضاً بإعداد إعادة توجيه للمنافذ من منافذ مخصصة (32567 و 22022) إلى المنفذ 22 للوصول عبر SSH.
عند بدء تشغيل النظام، تستخدم صورة القرص AdaptixC2 أو OpenSSH لإنشاء نفق SSH عكسي إلى عنوان IP عن بعد، مما ينشئ قناة وصول عن بعد مخفية تتجاوز تماماً اكتشافات نقطة النهاية القياسية.
يحتوي الجهاز الافتراضي لـ QEMU نفسه على صورة Alpine Linux 3.22.0 محملة مسبقاً بأدوات المهاجمين بما في ذلك Linker2، و AdaptixC2، وأداة تضليل حركة مرور WireGuard مخصصة تسمى wg-obfuscator، و BusyBox، و Chisel، و Rclone.
في حملة STAC3725، بدلاً من نشر مجموعة أدوات جاهزة، يقوم المهاجمون بتجميع مجموعة الهجوم الكاملة يدوياً داخل الجهاز الافتراضي.
تشمل هذه المجموعة Impacket، و KrbRelayX، و Coercer، و BloodHound.py، و NetExec، و Kerbrute، و Metasploit، بالإضافة إلى المكتبات الداعمة لـ Python، و Rust، و Ruby، و C.
شمل النشاط الخبيث الملاحظ تنزيل بيانات الاعتماد، وإحصاء أسماء مستخدمي Kerberos عبر Kerbrute، وإجراء استطلاع لـ Active Directory عبر BloodHound، ونشر حمولات باستخدام خوادم FTP.
يجب على المؤسسات اتخاذ الإجراءات الدفاعية التالية استجابة لهذا التهديد:
- تدقيق جميع البيئات بحثاً عن تثبيتات QEMU غير المصرح بها والمهام المجدولة غير المتوقعة، خاصة تلك التي تعمل تحت حساب النظام (SYSTEM).
- مراقبة أنفاق SSH الصادرة من منافذ غير قياسية ووضع علامة على أي صور أقراص افتراضية تحمل امتدادات ملفات غير شائعة مثل .db، .dll، أو .qcow2.
- تطبيق المصادقة متعددة العوامل (MFA) على جميع أنظمة VPN والوصول عن بعد للحد من فرص الوصول الأولية.
- تطبيق التصحيحات للثغرات الأمنية المعروفة، بما في ذلك CitrixBleed2 (CVE-2025-5777) و SolarWinds Web Help Desk (CVE-2025-26399)، لتقليل التعرض للاستغلال النشط.
- تنفيذ قواعد الكشف على مستوى الشبكة لتحديد تكوينات إعادة توجيه المنافذ غير العادية التي تستهدف المنفذ 22 من منافذ مصدر غير قياسية.