黑客滥用虚拟化平台规避检测的手法已导致多起网络安全事件，其中最常见的是滥用VMware ESXi，也有利用VirtualBox和Hyper-V的情况。最近，有人滥用另一款虚拟化工具QEMU，引起安全公司的关注。

自2025年底起，安全公司Sophos发现两组黑客团伙滥用该虚拟化平台的活动显著增加，其中以经济利益为动机的STAC4713尤其值得关注，因其活动与勒索软件PayoutsKing及数据窃取密切相关。该团伙利用QEMU构建反向SSH后门，用于传输攻击工具，并窃取受害组织的域凭证。

STAC4713通过QEMU部署Alpine Linux虚拟机，内含攻击所需工具，通常包括Adaptix C2（tinker2）、自制的WireGuard流量混淆器wg-obfuscator、BusyBox、Chisel以及Rclone。在构建虚拟机之前，黑客会创建名为TPMProfiler的任务计划，以SYSTEM账户自动启动虚拟机。开机后，虚拟机会通过Adaptix C2或OpenSSH建立反向SSH隧道，从而绕过终端防护系统的检测。

值得注意的是，这些黑客在侦察阶段通常会使用Windows自带的画图、记事本、Edge浏览器，并结合第三方工具WizTool，寻找文件共享文件夹及文件访问路径。在获取凭证数据方面，STAC4713会执行print命令，将Active Directory数据库NTDS.dit、安全账户管理器（SAM）数据库以及SYSTEM注册表 hive 的内容通过SMB复制到临时文件夹。此外，STAC4713还滥用磁盘卷影复制服务（VSS）创建系统快照。

至于攻击者如何入侵受害组织，Sophos观察到两种主要方式：一种是通过互联网访问未启用多因素认证（MFA）的SonicWall VPN；而在今年1月的一起事件中，黑客则利用SolarWinds网络IT服务台漏洞CVE-2025-26399达成入侵目的。