Selon un rapport publié par Sophos, des pirates informatiques utilisent QEMU pour exécuter des machines virtuelles sur Windows et ainsi exécuter les outils offensifs dans un environnement non analysé par les solutions de sécurité. Cette technique est exploitée au sein de plusieurs campagnes. Voici ce que l’on sait.

Une VM Alpine Linux pour masquer les actions malveillantes

Les solutions de sécurité destinées à protéger les machines sont installées directement sur le système d’exploitation principal. Cela permet de détecter les activités malveillantes exécutées sur l’hôte en lui-même, au niveau de son système d’exploitation. Pour être plus difficile à détecter, les cybercriminels ont eu une idée : utiliser l’émulateur open source QEMU pour exécuter des machines virtuelles (VM) Linux directement sur des machines Windows compromises. Une technique qui rend leurs activités malveillantes beaucoup plus difficiles à détecter.

La machine virtuelle déployée exécute Alpine Linux (en version 3.22.0) et elle est livrée avec une image disque prête à recevoir un arsenal d’outils offensifs. L’intérêt de cette distribution Linux, c’est que sa taille est minimaliste : on parle de quelques dizaines de mégaoctets, ce qui permet de limiter l’impact sur la machine compromise.

Les chercheurs de Sophos précisent : “Plutôt que d’utiliser une boîte à outils prête à l’emploi, les pirates installent et compilent manuellement l’ensemble de leurs outils d’attaque au sein de la machine virtuelle, notamment Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute, Metasploit, ainsi que les bibliothèques de support pour Python, Rust, Ruby et C++.

Sur cet environnement non contrôlé, les attaquants peuvent exécuter tous les outils dont ils ont besoin sans alerter une quelconque solution de sécurité. Cette technique permet aussi d’éviter de laisser des traces en facilitant la suppression des éléments une fois l’attaque terminée. Comme le souligne Sophos : “L’activité malveillante au sein d’une machine virtuelle (VM) est fondamentalement invisible pour les contrôles de sécurité des terminaux et laisse peu de preuves forensiques sur l’hôte lui-même.”

Pour la compromission initiale, la technique est susceptible de varier d’un groupe de pirates à un autre. Néanmoins, Sophos évoque :

• L’exploitation de la faille de sécurité CitrixBleed2 découverte au sein de Citrix NetScaler, puis le déploiement d’une version malveillante de ScreenConnect pour mettre en place la machine virtuelle QEMU.
• La compromission d’instances SonicWall VPN exposées sur Internet et mal configurées (absence de MFA, par exemple).

Deux groupes de cybercriminels à la manœuvre

Ce n’est pas la première fois que QEMU est détourné de cette façon, mais d’après Sophos deux groupes distincts exploitent activement cette technique depuis fin 2025. Il est notamment question du déploiement de ransomware suite à la mise en place de cette VM.

• STAC4713 : ce groupe, associé au déploiement du ransomware PayoutsKing, utilise QEMU comme une porte dérobée via un tunnel SSH inversé. Pour lancer la VM sans attirer l’attention, ils s’appuient sur une tâche planifiée s’exécutant avec les privilèges du compte . Pour brouiller les pistes, les pirates utilisent diverses extensions pour l’image disque de la VM, comme ou un nom de bibliothèque DLL ().

• STAC3725 : détecté en février 2026, ce second groupe a déployé une VM QEMU pour mener à bien des opérations de vol d’identifiants, d’énumération des noms d’utilisateur Kerberos et de reconnaissance dans l’Active Directory. La machine virtuelle a également servi à héberger des serveurs FTP pour préparer des charges utiles ou exfiltrer des données.

“L’utilisation abusive de QEMU s’inscrit dans une tendance croissante du contournement de la sécurité, dans laquelle les cybercriminels exploitent des logiciels de virtualisation légitimes pour dissimuler leurs actions malveillantes aux agents de protection des terminaux et aux journaux d’audit.”, explique Sophos.

Comment détecter ces machines virtuelles ?

Pour tenter de détecter l’utilisation de cette technique sur les machines Windows, plusieurs pistes sont envisageables :

• Auditer les systèmes pour détecter toute installation suspecte de QEMU.
• Vérifier les tâches planifiées enregistrées sur Windows, tout particulièrement celles s’exécutant sous le compte .
• Surveiller les règles de redirection de ports inhabituelles ciblant le port 22 (SSH), ainsi que les tunnels SSH sortants émanant de ports non standards.
• Garder un œil sur les fichiers volumineux ou les images de disques virtuels, sans mettre de côté les extensions inhabituelles.

L’idéal, c’est probablement de mettre en place des stratégies de restriction logicielles permettant d’interdire l’exécution de logiciels non autorisés.

Vous pouvez consulter le rapport complet sur le site de Sophos.