Image credit: Freepix
Penyelundupan Malware Lewat Emulator QEMU – Operasi ransomware Payout King baru-baru ini terdeteksi menggunakan teknik yang sangat cerdik.
Untuk mengelabui solusi keamanan, memanfaatkan emulator QEMU sebagai pintu belakang (backdoor) SSH terbalik.
Teknik ini memungkinkan penyerang menjalankan mesin virtual (VM) tersembunyi di dalam sistem yang terinfeksi, menciptakan zona gelap yang tidak dapat dipindai oleh perangkat lunak keamanan di komputer inang (host).
QEMU sendiri adalah alat virtualisasi sumber terbuka yang sah. Namun, karena solusi keamanan endpoint biasanya tidak memiliki visibilitas ke dalam proses yang berjalan di dalam mesin virtual tersebut.
Peretas memanfaatkannya untuk menjalankan payload berbahaya, menyimpan file ilegal, dan membangun terowongan akses jarak jauh yang sulit dideteksi.
Dua Kampanye Berbahaya
Peneliti keamanan mendokumentasikan dua kampanye berbeda yang menggunakan persenjataan QEMU ini untuk mencuri kredensial domain:
- Kampanye STAC4713 (Payouts King): Pertama kali diamati pada November 2025, kampanye ini dikaitkan dengan grup ancaman GOLD ENCOUNTER. Grup ini dikenal spesifik menargetkan lingkungan hypervisor seperti VMware dan ESXi.
- Kampanye STAC3725: Aktif sejak Februari 2026, kampanye ini mengeksploitasi kerentanan baru CitrixBleed 2 (CVE-2025-5777) pada perangkat NetScaler ADC dan Gateway.
|
Baca juga: Serangan SQL Injection |
Infiltrasi Lewat VM Alpine Linux
Dalam kampanye Payouts King, penyerang membuat tugas terjadwal bernama ‘TPMProfiler’ untuk meluncurkan mesin virtual QEMU dengan hak akses SYSTEM.
Mereka menyamarkan file disk virtual sebagai basis data atau file DLL agar tidak mencurigai admin sistem. Mesin virtual tersebut menjalankan Alpine Linux versi 3.22.0 yang sudah dimuati dengan berbagai alat peretas seperti:
- AdaptixC2.
- Chisel.
- BusyBox.
- Rclone.
Akses awal sering kali didapat melalui kerentanan pada VPN SonicWall, kerentanan Web Help Desk SolarWinds (CVE-2025-26399).
Atau melalui rekayasa sosial di Microsoft Teams di mana penyerang menyamar sebagai staf IT untuk membujuk karyawan mengunduh QuickAssist.
Setelah infeksi berhasil, penyerang menggunakan perintah sistem untuk menyalin basis data direktori aktif (NTDS.dit) dan sarang registri sistem (SAM) ke direktori sementara untuk dicuri.
Laporan terbaru menyebutkan bahwa Payouts King kemungkinan berafiliasi dengan mantan anggota grup ransomware BlackBasta, terlihat dari kemiripan metode serangan mereka.
Teknik Enkripsi dan Anti-Analisis
Payouts King menggunakan skema enkripsi yang sangat kuat, yakni gabungan AES-256 (CTR) dan RSA-4096.
Untuk mempercepat proses pada file berukuran besar, mereka menggunakan teknik enkripsi berselang (intermittent encryption).
Selain itu, malware ini dilengkapi dengan mekanisme anti-analisis yang berat dan mampu menghentikan alat keamanan menggunakan panggilan sistem tingkat rendah (low-level system calls).
Pada kampanye kedua (STAC3725), penyerang yang masuk melalui celah Citrix akan memasang klien ScreenConnect untuk persistensi, lalu menjalankan VM Alpine Linux secara manual.
Di dalam VM tersebut, mereka mengompilasi alat-alat canggih seperti Impacket, BloodHound.py, dan Metasploit untuk melakukan pengintaian Active Directory dan pengumpulan kredensial secara massal.
|
Baca juga: Vibeware |
Keamanan dan Mitigasi
Melihat tren penggunaan virtualisasi sebagai alat persembunyian di tahun 2026, organisasi perlu memperketat pengawasan infrastruktur mereka. Peneliti dari ESET dan pakar keamanan lainnya menyarankan langkah-langkah berikut:
- Segera periksa apakah ada instalasi QEMU atau perangkat lunak virtualisasi lain yang tidak sah di lingkungan kerja Anda.
- Waspadai tugas terjadwal yang berjalan dengan hak akses SYSTEM, terutama yang memiliki nama tidak biasa atau merujuk pada file DLL yang mencurigakan.
- Pantau aktivitas port forwarding SSH yang tidak lazim atau koneksi SSH keluar pada port non-standar, karena ini merupakan indikasi kuat adanya akses jarak jauh ilegal.
- Solusi seperti ESET PROTECT MDR dapat membantu mendeteksi perilaku anomali, seperti proses sideloading DLL (misalnya vcruntime140_1.dll) atau penggunaan alat Rclone untuk pengiriman data ke lokasi luar yang mencurigakan.
Kasus Payouts King menunjukkan bahwa batas antara alat administratif yang sah dan senjata siber semakin kabur.
Dengan menjalankan seluruh operasi serangan di dalam mesin virtual terisolasi, peretas berharap dapat melewati pertahanan siber konvensional.
Di tahun 2026, resiliensi siber tidak hanya berarti menjaga pintu depan tetap terkunci, tetapi juga memastikan tidak ada “komputer di dalam komputer” yang beroperasi secara gelap di dalam jaringan Anda.
Sumber berita:
