رصدت شركة Sophos المتخصصة في الأمن السيبراني نمطاً هجومياً بالغ التطور يستغل QEMU، وهو برنامج مفتوح المصدر لمحاكاة الأجهزة والافتراض، لإخفاء النشاط الخبيث داخل بيئات افتراضية تعمى أمامها أدوات الحماية التقليدية كلياً. وتمثّل هذه التقنية قفزة نوعية في أساليب التهرب من الكشف، إذ لا يكتفي المهاجمون بإخفاء ملف أو عملية واحدة، بل يشغّلون نظام تشغيل كاملاً موازياً داخل الجهاز الضحية.
لماذا يُشكّل QEMU درعاً مثالية للمهاجمين
QEMU أداة مشروعة تُستخدم على نطاق واسع في بيئات التطوير والبحث لمحاكاة أجهزة مختلفة وأنظمة تشغيل متعددة. والمشكلة الجوهرية أن أدوات الأمن على مستوى نقطة النهاية لا تملك في الغالب القدرة على التفتيش في داخل الأجهزة الافتراضية التي تعمل على نفس الجهاز المضيف.
يستغل المهاجمون QEMU وأدوات الافتراض الشائعة الأخرى كـHyper-V وVirtualBox وVMware لأن النشاط الخبيث داخل الجهاز الافتراضي يكون في الجوهر غير مرئي لأدوات أمن نقاط النهاية ويُخلّف أثراً جنائياً ضئيلاً على الجهاز المضيف ذاته. وهذا يعني أن المهاجم قد يمارس عملياته لأسابيع أو أشهر داخل هذه البيئة الافتراضية دون أن تُطلق أي من أدوات الأمن المثبّتة على الجهاز تنبيهاً واحداً.
هذا الأسلوب لا يعتمد على أداة مزيّفة أو برنامج ضار جديد، بل يُسيء استخدام برنامج موثوق قد يتعرّف عليه المسؤولون الإداريون، ثم يُحوّل الافتراض إلى درع لأنشطة ما بعد الاختراق.
حملة STAC4713 وبرنامج الفدية Payouts King
رُصدت حملة STAC4713 أول مرة في نوفمبر 2025، وهي حملة ذات دوافع مالية مرتبطة ببرنامج الفدية PayoutsKing. تعتمد الحملة على QEMU بوصفه باباً خلفياً سرياً لـSSH العكسي لتوصيل أدوات المهاجم وحصد بيانات اعتماد النطاق.
لنشر QEMU، يبدأ المهاجمون بإنشاء مهمة مجدولة باسم “TPMProfiler” تُشغّل جهازاً افتراضياً عبر QEMU تحت حساب SYSTEM، باستخدام صورة قرص افتراضي ذات امتداد غير مألوف تتنكر في هيئة vault.db أو ملف DLL باسم bisrv.dll.
يستضيف الجهاز الافتراضي QEMU صورة Alpine Linux المثقلة بأدوات الهجوم، من بينها AdaptixC2 وLinker2 وأداة تشويش WireGuard المخصصة وBusyBox وChisel وRclone، مما يُوفّر للمشغّلين بيئة عمل سرية كاملة معزولة عن الجهاز المضيف.
في مرحلة ما بعد الاختراق، استخدم المهاجمون أداة VSS لإنشاء نسخة shadow، ثم استخدموا أمر print عبر SMB لنسخ ملف NTDS.dit ومجموعتَي سجل SAM وSYSTEM إلى أدلة مؤقتة، وهو تسلسل كلاسيكي لحصد بيانات الاعتماد.
تنسب أبحاث Counter Threat Unit عملية PayoutsKing للفدية والابتزاز التي ظهرت في منتصف 2025 إلى مجموعة التهديد GOLD ENCOUNTER. وتُشير تحليلات Sophos إلى أن المجموعة تُركّز على أجهزة الافتراض المركزية ولديها أدوات تشفير تستهدف بيئات VMware وESXi. وقد أعلن مشغّلو PayoutsKing صراحةً أنهم لا يعملون وفق نموذج برامج الفدية كخدمة RaaS ولا يتعاملون مع مُنسَّبين.
حملة STAC3725 وثغرة CitrixBleed 2
رُصدت حملة STAC3725 أول مرة في فبراير 2026، وتستغل ثغرة CitrixBleed2 المُعرَّفة بـCVE-2025-5777 للحصول على موطئ قدم، ثم تُثبّت عميل ScreenConnect الخبيث للحفاظ على الاستمرارية. يُنشئ المهاجمون بعدها جهازاً افتراضياً QEMU لتثبيت أدوات إضافية لإجراء الاستطلاع وسرقة بيانات الاعتماد.
بدلاً من الاعتماد على حزمة أدوات جاهزة، يُثبّت مشغّلو STAC3725 أدواتهم ويُجمّعونها يدوياً داخل الجهاز الافتراضي، من بينها Impacket وKrbRelayx وCoercer وBloodHound.py وNetExec وKerbrute وMetasploit. وتشمل الأنشطة المرصودة حصد بيانات الاعتماد، وتعداد أسماء مستخدمي Kerberos، واستطلاع Active Directory، وتجهيز البيانات للسحب عبر FTP.
وسطاء الوصول الأولي يُغذّون ظاهرة تعدد الجهات الهاجمة
يكشف التقرير عن ظاهرة خطيرة تتصل بالاقتصاد السري لجرائم الإنترنت، وهي دور وسطاء الوصول الأولي في تمكين هجمات متعددة الأطراف. نظراً لأن الأنشطة اللاحقة تباينت عبر الاختراقات، فإن ذلك يُشير إلى أن وسطاء الوصول الأولي اخترقوا بيئات الضحايا أولاً ثم باعوا هذا الوصول لجهات تهديد أخرى.
في هجوم بفبراير 2026، استخدمت GOLD ENCOUNTER شبكة VPN مكشوفة من Cisco نقطةً للدخول. وفي مارس، انتحل المهاجمون صفة موظفي تقنية المعلومات وتلاعبوا بالموظفين عبر Microsoft Teams، خادعين إياهم لتنزيل QuickAssist وتثبيته.
وتوصي Sophos فرق الأمن بمراجعة البيئات المُدارة بحثاً عن تثبيتات QEMU غير مصرّح بها، ومهام مجدولة مشبوهة تعمل بصلاحيات SYSTEM، وقواعد إعادة توجيه منافذ غير معتادة، ومراقبة أنفاق SSH الصادرة على منافذ غير قياسية.
