pepebaeza - Fotolia

Actualites

Comment les attaquants se cachent en utilisant la virtualisation

Les cybercriminels sont connus pour viser les infrastructures de virtualisation dans le cadre de leurs attaques avec ransomware. Mais ils ne manquent de les utiliser également pour cacher leur activités malveillantes.

Valéry Rieß-Marchive
par
Publié le: 24 avr. 2026

L'utilisation d'outils de virtualisation, incluant QEMU, Hyper-V, VirtualBox et VMware, est détournée par les acteurs malveillants pour dissimuler leurs opérations.

L'attrait principal réside dans le fait qu'une activité exécutée au sein d'une machine virtuelle (VM) est intrinsèquement invisible aux contrôles de sécurité des postes de travail et laisse peu de traces forensiques sur l'hôte. En outre, une machine virtuelle n'est pas nécessairement suspectée de conduire des actions malveillantes.

Cette technique d'abus est récurrente : Mandiant a documenté en novembre 2020 l'utilisation de Qemu sur des systèmes Linux pour héberger des outils et établir des tunnels SSH inverses vers une infrastructure de commande et contrôle (C2). Kaspersky a rapporté en mars 2024 l'abus de cette technologie pour le tunneling réseau discret.

Plus récemment, Sophos a documenté en mai 2025 l'emploi de Qemu pour déployer la poste dérobée QDoor et livrer le ransomware. Les analystes de Sophos ont noté une augmentation des cas d'utilisation de Qemu pour échapper à la détection, notamment à travers les campagnes STAC4713 et STAC3725 identifiées depuis fin 2025.

Comment Qemu masque les opérations de PayoutsKing

La campagne STAC4713, associée au ransomware PayoutsKing, illustre l'exploitation des outils natifs pour la reconnaissance. Les acteurs ont utilisé l'interface utilisateur du Volume Shadow Copy Service pour créer un instantané, puis ont exploité la commande `print` afin de copier les bases de données Active Directory (NTDS.dit) ainsi que les hives SAM et SYSTEM vers des répertoires temporaires via SMB. De plus, ils ont abusé d'outils légitimes comme Microsoft Paint et Notepad pour la découverte de partages réseau, complétant l'opération avec des outils tiers comme WizTree.

Après avoir établi la persistance via un client ScreenConnect, les attaquants ont extrait une archive ZIP contenant `qemu-system-x86_64.exe` et un disque virtuel (`custom.qcow2`). À l'intérieur de cette machine virtuelle, ils ont exécuté des outils critiques tels que Impacket, Kerbrute et BloodHound.py pour mener une reconnaissance Active Directory approfondie. L'activité observée inclut également l'ajout d'une clé de registre WDigest pour stocker les identifiants et l'installation de pilotes noyau vulnérables.

Le détournement de Qemu représente une tendance où les acteurs malveillants exploitent des logiciels de virtualisation légitimes pour masquer leurs actions devant les agents de protection des postes et les journaux d'audit. Une machine virtuelle cachée, préchargée avec une suite d'outils offensive, confère à l'attaquant un accès de longue durée au réseau, lui permettant de déployer des logiciels malveillants, d'exfiltrer des identifiants et de se déplacer latéralement sans laisser de traces sur l'hôte.

Les RSSI doivent auditer leurs environnements pour détecter toute installation non autorisée de Qemu, ainsi que les tâches planifiées inattendues et les règles de transfert de ports inhabituelles. 

Pour approfondir sur Menaces, Ransomwares, DDoS