QEMU を悪用するキャンペーンを検出:ランサムウェアのためのバックドアを展開

Attackers Turn QEMU Into a Stealth Backdoor for Credential Theft and Ransomware

2026/04/20 CyberSecurityNews — 正規のオープンソース・マシンエミュレータおよび仮想化ツールである QEMU を悪用する攻撃者が、エンドポイント・セキュリティ検知を回避しながら認証情報を窃取し、ランサムウェアを展開するためのバックドアを仕掛けている。この攻撃手法の変化が示すのは、エンタープライズ環境において、信頼されたソフトウェア・ツールが回避技術として武器化されている現実である。

QEMU は、ハードウェア仮想化およびソフトウェア・テスト用途で広く利用されている。仮想マシン (VM) 内で実行される悪意の活動は、多くのエンドポイント保護ツールから不可視であるため、新たな悪用の対象として注目されている。

ホストシステム側のセキュリティ制御は、VM 内部の挙動を監視できないため、フォレンジック痕跡もほとんど残らない。そのため、QEMU ベース侵入はリアルタイム検知および封じ込めが極めて困難である。

Sophos のアナリストたちが調査しているのは、隠された VM を用いて活動を秘匿し、ドメイン認証情報を収集し、ランサムウェア展開準備を行う攻撃キャンペーンである。この調査で確認されたのは、2025年の後半から活動している 2 つのキャンペーン STAC4713 と STAC3725 であり、いずれも仮想化を中核とした回避戦略を採用している。

この手法自体は新規ではないが、QEMU を利用したインシデントの増加が示すのは、高度な脅威グループ間でトレンド化されている状況である。2025年11月に初めて観測された STAC4713 キャンペーンは、PayoutsKing ランサムウェア運用と関連し、GOLD ENCOUNTER に帰属する。

PayoutsKing は 2025年中頃に登場し、Ransomware-as-a-Service モデルを採用せずに、直接的に攻撃を実行するという特徴を持つ。Sophos の分析によると、このグループはハイパーバイザ環境を標的とし、VMware および ESXi 向けの暗号化ツールを開発している。

もう一方の STAC3725 キャンペーンは 2026年02月に出現し、CitrixBleed 2 (CVE-2025-5777 ) を初期侵入の経路として悪用している。侵入後の攻撃者は、永続化のために悪意の ScreenConnect クライアントを導入し、その後に QEMU VM を展開して Active Directory 環境から認証情報を窃取する。

QEMU を武器化する仕組み

STAC4713 感染チェーンの攻撃者は、”TPMProfiler” というスケジュール・タスクを作成し、SYSTEM 権限で QEMU 実行ファイル “qemu-system-x86_64.exe” を起動する。

このタスクは、仮想ハードディスク・イメージを用いて起動し、検知回避のために非標準の拡張子を利用する。初期においては “vault.db” を利用し、その後の 2026年01月 には “bisrv.dll” に変更している。このファイル偽装の意図は、正規のシステム・ファイルに見せかけることでセキュリティ監視を回避する点にある。

そのためのスケジュール・タスクの実行時には、カスタムポート (32567 および 22022) から SSH ポート 22 へのポート・フォワーディングも設定される。システム起動時のディスク・イメージは、AdaptixC2 または OpenSSH を用いてリモート IP へリバース SSH トンネルを確立し、標準検知を完全に回避する通信チャネルを構築する。

QEMU VM 内では Alpine Linux 3.22.0 が実行され、Linker2/AdaptixC2/wg-obfuscator (WireGuard トラフィック難読化ツール )/BusyBox/Chisel/Rclone が事前配置されている。

STAC3725 感染チェーンの攻撃者は、事前に準備された構築ツールではなく、VM 内で手動コンパイルされた攻撃ツールを用いる。

そこに含まれるのは、Impacket/KrbRelayX/Coercer/BloodHound.py/NetExec/Kerbrute/Metasploit であり、Python/Rust/Ruby/C のライブラリも使用される。

観測された悪意の活動に含まれるのは、認証情報取/Kerbrute による Kerberos ユーザー列挙/BloodHound による Active Directory 偵察/FTP を用いたペイロード展開などがある。

防御対策

ユーザー組織は、以下の対策を実施する必要がある:

  • 未承認の QEMU インストールおよび異常なスケジュール・タスク (特に SYSTEM 権限での実行) を監査する。
  • 非標準ポートからの発信されるアウトバウンド SSH トンネルを監視し、”.db/.dll/.qcow2″ など異常拡張子の仮想ディスクを検知する。
  • すべての VPN およびリモートアクセスに対して、多要素認証 (MFA) を強制する。
  • 既知の脆弱性である CitrixBleed 2 (CVE-2025-5777) や SolarWinds Web Help Desk (CVE-2025-26399) を修正する。
  • 非標準ポートからポート 22 への異常ポートフォワーディングを検知する、ネットワーク・ルールを導入する。

訳者後書:正規のツールを隠れ蓑にする、きわめて巧妙な攻撃手法を紹介する記事です。この問題の根本的な原因は、ハードウェアを仮想化する QEMU の機能を悪用することで、ホスト側のセキュリティ製品の監視が届かない “死角” を作り出す点にあります。それを悪用する攻撃者は、CitrixBleed2 (CVE-2025-5777) などの脆弱性を通じて侵入した後にバックドアを構築し、認証情報の窃取やランサムウェアの準備を静かに進めます。信頼されているソフトウェアであっても、本来の用途とは異なる不自然な動作がないかを確認することが重要です。ご利用のチームは、ご注意ください。よろしければ、CitrixBleed 2 での検索結果も、ご参照ください。