Hackeři skrývají útoky ve virtuálních strojích. Firmy je často vůbec nevidí, varuje Sophos

Bezpečnostní experti ze společnosti Sophos upozorňují na rostoucí trend, kdy útočníci zneužívají virtualizační nástroje k ukrytí škodlivé aktivity přímo uvnitř napadených systémů. Tento přístup jim umožňuje obcházet tradiční bezpečnostní opatření a dlouhodobě setrvat v infrastruktuře organizací bez odhalení.

„Útočníky přitahuje QEMU i běžnější virtualizační nástroje založené na hypervizoru, jako jsou Hyper-V, VirtualBox a VMware, protože škodlivá aktivita probíhající uvnitř virtuálního stroje (VM) je pro bezpečnostní nástroje na koncových bodech v podstatě neviditelná a na samotném hostitelském systému zanechává jen minimum forenzních stop. Útočníci tak získávají čas i prostor pro další škodlivé aktivity a přípravu útoků,“ říká Morgan Demboski, analytička kybernetických hrozeb v týmu Managed Detection and Response (MDR) společnosti Sophos.

Nová úroveň skrytí útoků

Sophos identifikoval několik aktivních kampaní, ve kterých útočníci zneužívají virtualizaci k dlouhodobému přístupu do firemních sítí, krádeži přihlašovacích údajů, exfiltraci citlivých dat, a přípravě a nasazení ransomwaru. V některých případech útočníci využili i známé zranitelnosti, například CitrixBleed2, nebo špatně zabezpečené VPN přístupy bez vícefaktorového ověření.

Zneužívání QEMU je opakující se technika, kterou útočníci využívají již řadu let:

► Listopad 2020: Společnost Mandiant popsala případ, kdy útočník využil QEMU na Linuxových systémech k hostování nástrojů a vytvoření reverzních SSH tunelů do infrastruktury pro řízení a kontrolu (C2).

► Březen 2024: Kaspersky informoval o zneužívání QEMU pro skryté síťové tunelování.

► Květen 2025: Sophos zdokumentoval útoky, při nichž byl QEMU použit k nasazení backdooru QDoor a následnému šíření ransomwaru 3AM.

Analytici Sophos však zaznamenali nárůst případů, kdy je QEMU zneužíván k obcházení bezpečnostních opatření, přičemž od konce roku 2025 identifikovali dvě samostatné kampaně: STAC4713 a STAC3725.

Hrozba i pro české firmy

Virtualizační technologie, jako například VMware nebo řešení od společnosti Microsoft, jsou běžnou součástí IT infrastruktury většiny organizací v Česku. Nový přístup útočníků tak představuje reálné riziko napříč sektory.

„Firmy by měly počítat s tím, že útočníci dnes kombinují legitimní nástroje s pokročilými technikami skrývání. Ve fázi detekce už se už nemůžete spolehnout jen na monitoring koncových bodů, ale musíte zohlednit i širší kontext a chování v síti,“ upozorňuje Morgan Demboski a organizacím doporučuje: „Zaměřte se na audit prostředí z hlediska neautorizovaných virtualizačních nástrojů, sledujte neobvyklou síťovou komunikaci, například SSH tunely, kontrolujte podezřelé plánované úlohy i systémové procesy a dbejte na důsledné zabezpečení vzdálených přístupů včetně vícefaktorového ověřování.“

Více informací včetně detailní technické analýzy, indikátorů kompromitace a popisu jednotlivých kampaní naleznete v originálním reportu „QEMU abused to evade detection and enable ransomware delivery“ od Morgan Demboski, analytičky kybernetických hrozeb v týmu Managed Detection and Response (MDR) společnosti Sophos. (26.4.2026)