Payouts King 랜섬웨어가 QEMU 에뮬레이터를 역방향 SSH 백도어로 활용하여 감염된 시스템에서 숨겨진 가상머신(VM)을 실행하고, 이를 통해 엔드포인트 보안을 우회하는 사례가 발견되었다. QEMU는 오픈소스 CPU 에뮬레이터 및 시스템 가상화 도구로, 공격자는 VM 내부에서 페이로드 실행, 악성 파일 저장, 은밀한 원격 접근 터널 생성 등에 악용할 수 있다. Sophos 연구진은 GOLD ENCOUNTER 위협 그룹이 QEMU를 이용해 Alpine Linux VM을 숨겨 실행하고, 다양한 공격 도구와 SSH 터널링을 통해 도메인 자격 증명 수집 및 데이터 탈취를 시도한 두 건의 캠페인을 확인했다.
첫 번째 캠페인(STAC4713)은 2025년 11월부터 관찰되었으며, SonicWall VPN, SolarWinds Web Help Desk 취약점(CVE-2025-26399), Cisco SSL VPN, Microsoft Teams 피싱 등 다양한 초기 침투 경로를 활용했다. 공격자는 시스템 권한으로 QEMU VM을 실행하고, Rclone 등 도구로 데이터를 외부로 유출했다. Payouts King 랜섬웨어는 AES-256(CTR)과 RSA-4096 암호화, 난독화 및 보안 도구 종료 기능을 갖추고 있으며, 피해자에게 다크웹 유출 사이트로 안내하는 랜섬노트를 남긴다.
두 번째 캠페인(STAC3725)은 2025년 2월부터 CitrixBleed 2(CVE-2025-5777) 취약점을 악용해 NetScaler 장비를 공격했다. 공격자는 악성 실행파일로 서비스와 관리자 계정을 생성하고, ScreenConnect 클라이언트로 원격 세션을 확보한 뒤 QEMU 기반 Alpine Linux VM을 설치했다. VM 내부에는 Impacket, Metasploit 등 다양한 해킹 도구가 수동으로 설치되어 자격 증명 수집, AD 탐색, 데이터 유출 준비 등이 이루어졌다. Sophos는 조직에 QEMU 무단 설치, SYSTEM 권한 예약 작업, 비정상 SSH 포트 포워딩 등 이상 징후를 점검할 것을 권고했다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.