Kelompok ransomware Payouts King dilaporkan menggunakan emulator QEMU sebagai pintu belakang (backdoor) SSH terbalik untuk menjalankan mesin virtual (VM) tersembunyi pada sistem yang disusupi. Taktik cerdik ini memungkinkan mereka untuk melewati dan mengecoh solusi keamanan endpoint (Endpoint Detection and Response/EDR).
QEMU merupakan emulator CPU sumber terbuka (open-source) dan alat virtualisasi sistem yang memungkinkan pengguna menjalankan sistem operasi pada komputer host sebagai VM. Karena solusi keamanan pada host tidak dapat memindai atau melihat aktivitas di dalam VM, peretas dapat menggunakannya sebagai “ruang aman” untuk mengeksekusi muatan, menyimpan fail berbahaya, dan membuat terowongan akses jarak jauh rahasia melalui SSH.
Praktik penyalahgunaan QEMU ini sebelumnya juga pernah dilakukan oleh aktor ancaman lain, termasuk kelompok ransomware 3AM, kampanye penambangan kripto LoudMiner, dan phishing ‘CRON#TRAP’.
Kampanye STAC4713: Jejak Payouts King & GOLD ENCOUNTER
Para peneliti di perusahaan keamanan siber Sophos mendokumentasikan dua kampanye utama. Kampanye pertama, dilacak sebagai STAC4713, pertama kali diamati pada November 2025 dan memiliki kaitan kuat dengan operasi ransomware Payouts King serta grup ancaman GOLD ENCOUNTER (yang dikenal kerap menargetkan hypervisor VMware dan lingkungan ESXi).
- Mekanisme Infeksi: Aktor jahat membuat tugas terjadwal (scheduled task) bernama
TPMProfileruntuk meluncurkan VM QEMU tersembunyi dengan hak akses SYSTEM. Mereka menyamarkan fail disk virtual sebagai basis data dan fail DLL, lalu mengatur penerusan port untuk akses rahasia via terowongan SSH terbalik. - Isi VM: VM tersebut menjalankan Alpine Linux versi 3.22.0 yang sudah dibekali alat peretasan seperti AdaptixC2, Chisel, BusyBox, dan Rclone.
- Vektor Akses Awal: Akses awalnya didapat melalui VPN SonicWall yang terekspos. Dalam serangan yang lebih baru, mereka mengeksploitasi kerentanan SolarWinds (CVE-2025-26399), VPN Cisco SSL, hingga menyamar sebagai staf TI yang menipu karyawan melalui Microsoft Teams agar menginstal perangkat lunak QuickAssist.
- Taktik Lanjutan: Setelah terinfeksi, peretas menggunakan VSS (
vssuirun.exe) untuk membuat salinan bayangan, menyalin data registri sensitif, dan mengeksfiltrasi data menggunakan Rclone.
Menurut laporan Zscaler, Payouts King kemungkinan besar berafiliasi dengan mantan anggota BlackBasta, mengingat kesamaan metode akses awal seperti pengeboman spam dan penyalahgunaan Quick Assist. Ransomware ini menggunakan skema enkripsi AES-256 (CTR) dengan RSA-4096 (enkripsi intermiten untuk fail besar).
Kampanye STAC3725: Eksploitasi CitrixBleed 2
Kampanye kedua yang diamati Sophos (STAC3725) telah aktif sejak Februari 2026. Kampanye ini berfokus pada eksploitasi kerentanan CitrixBleed 2 (CVE-2025-5777) pada instans NetScaler ADC dan Gateway.
- Alur Eksekusi: Setelah menyusupi perangkat NetScaler, peretas menyebarkan arsip ZIP yang memasang layanan
AppMgmt, membuat pengguna admin lokal baru (CtxAppVCOMService), dan menginstal klien ScreenConnect untuk mempertahankan akses (persistence). - Ekstraksi QEMU: Melalui ScreenConnect, mereka mengekstrak paket QEMU yang menjalankan VM Alpine Linux tersembunyi menggunakan citra disk
custom.qcow2. - Kompilasi Manual: Berbeda dengan kampanye pertama, peretas di sini secara manual menginstal dan mengompilasi alat mereka di dalam VM—termasuk Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, dan Metasploit. Tujuannya adalah untuk memanen kredensial, melakukan pengintaian Active Directory, dan mengeksfiltrasi data via server FTP.
Rekomendasi Mitigasi
Untuk bertahan dari taktik siluman ini, Sophos sangat merekomendasikan agar organisasi secara proaktif memburu indikator kompromi berikut:
- Instalasi QEMU yang tidak sah atau tidak dikenali di dalam jaringan.
- Tugas terjadwal yang mencurigakan, terutama yang berjalan dengan hak istimewa SYSTEM.
- Penerusan port (port forwarding) SSH yang tidak biasa.
- Terowongan SSH keluar (outbound) yang beroperasi pada port non-standar.