Security-Blindspots

Cyberkriminelle setzen zunehmend auf eine Technik, die ebenso simpel wie wirkungsvoll ist: Sie verstecken ihre Aktivitäten in virtuellen Maschinen – und entziehen sich damit oft vollständig der Sicht klassischer Sicherheitssysteme. Was wie ein Nischenphänomen klingt, entwickelt sich gerade zu einem ernstzunehmenden Trend.

Im Fokus aktueller Analysen steht dabei QEMU , ein eigentlich legitimer Open-Source-Emulator. Sicherheitsforscher von Sophos beobachten, dass Angreifer das Tool gezielt missbrauchen, um unentdeckt zu bleiben. Der Grund liegt auf der Hand: Was innerhalb einer virtuellen Maschine passiert, bleibt für viele Endpoint-Schutzlösungen unsichtbar. Gleichzeitig hinterlassen die Aktivitäten auf dem eigentlichen System – dem Host – kaum verwertbare Spuren.

Zwar ist der Einsatz von Virtualisierung durch Angreifer kein neues Phänomen – auch Plattformen wie Hyper-V, VirtualBox oder VMware wurden bereits in der Vergangenheit zweckentfremdet. Doch die aktuelle Zunahme von QEMU-basierten Angriffen deutet darauf hin, dass sich diese Methode weiter professionalisiert. Sophos identifizierte seit Ende 2025 zwei Kampagnen, die diesen Ansatz besonders konsequent nutzen: STAC4713 und STAC3725.

Gezielte Angriffe statt Baukasten-Prinzip

Die Kampagne STAC4713, erstmals im November 2025 beobachtet, verfolgt ein klares Ziel: finanziellen Gewinn. Sie steht im Zusammenhang mit der PayoutsKing-Ransomware und zeigt ein bemerkenswert kontrolliertes Vorgehen. Anders als viele moderne Ransomware-Gruppen setzt sie nicht auf ein Partner- oder Franchise-Modell. Stattdessen agieren die Betreiber eigenständig – ein Detail, das sich auch in den eingesetzten Taktiken widerspiegelt.

Innerhalb der Angriffe dient QEMU unter anderem als versteckte Backdoor: Über reverse SSH-Verbindungen werden Tools nachgeladen und Zugangsdaten gesammelt. In mehreren Fällen konnten die Angreifer so langfristig Zugriff auf kompromittierte Netzwerke halten, Daten abziehen und schließlich Ransomware platzieren.

Auffällig ist zudem die Flexibilität beim Erstzugriff. Während in einem Fall ein offenes Cisco-SSL-VPN ausgenutzt wurde, setzten die Täter in einem anderen Szenario auf Social Engineering – sie kontaktierten Mitarbeitende per E-Mail und gaben sich in Microsoft Teams als IT-Support aus. Klassische Schwachstellen und menschliche Faktoren greifen hier nahtlos ineinander.

Handarbeit im Untergrund

Noch einen Schritt weiter geht die Kampagne STAC3725, die Anfang 2026 entdeckt wurde. Sie nutzt eine bekannte Schwachstelle (CitrixBleed2), um in Systeme einzudringen – und setzt anschließend ebenfalls auf QEMU als versteckte Arbeitsumgebung. Der entscheidende Unterschied: Statt fertiger Angriffswerkzeuge bringen die Täter ihre Toolsets selbst mit und richten sie direkt innerhalb der virtuellen Maschine ein. Diese manuelle Vorgehensweise macht die Angriffe schwerer vorhersehbar – und damit auch schwerer zu erkennen. Die beobachteten Aktivitäten reichen von klassischer Aufklärung im Active Directory über das Sammeln von Zugangsdaten bis hin zur Einrichtung eigener FTP-Server für Datenabfluss oder den Transfer weiterer Schadsoftware. In einzelnen Fällen kamen zudem Tools wie verschlüsselte Peer-to-Peer-Verbindungen oder gezielte Eingriffe in Sicherheitsmechanismen – etwa das Deaktivieren von Microsoft Defender – zum Einsatz.

Interessant ist auch das Muster hinter den Angriffen: Nicht immer bleiben die ursprünglichen Eindringlinge aktiv. Teilweise scheint der Zugang zu kompromittierten Netzwerken weiterverkauft zu werden – ein Hinweis auf arbeitsteilige Strukturen innerhalb der Cybercrime-Szene.

Unsichtbare Infrastruktur, reale Gefahr

Der Missbrauch von QEMU zeigt exemplarisch, wie Angreifer legitime Technologien für ihre Zwecke umfunktionieren. Eine einmal eingerichtete, versteckte virtuelle Maschine fungiert dabei wie eine eigene Kommandozentrale im Netzwerk: Sie ermöglicht Datendiebstahl, laterale Bewegungen und die Vorbereitung weiterer Angriffe – ohne dabei direkt aufzufallen.

Für Unternehmen bedeutet das: Die klassischen Sicherheitsgrenzen reichen nicht mehr aus. Neben bekannten Schutzmaßnahmen rückt vor allem die Sichtbarkeit in den Vordergrund. Unautorisierte Installationen von Virtualisierungssoftware, ungewöhnliche geplante Aufgaben oder auffällige Netzwerkverbindungen – etwa SSH-Tunnel über untypische Ports – können wichtige Hinweise liefern. Auch scheinbar harmlose Dateien verdienen einen zweiten Blick. Virtuelle Festplatten, getarnt als .db-, .dll- oder .qcow2-Dateien, könnten Teil einer versteckten Angriffsstruktur sein. Fest steht: Der Kampf gegen Cyberangriffe verlagert sich zunehmend in Bereiche, die lange als unproblematisch galten. Virtualisierung ist dabei nur ein Beispiel – aber ein besonders effektives. Wer hier nicht genau hinschaut, läuft Gefahr, Angreifern ungewollt den perfekten Rückzugsort zu bieten.