De Payouts King ransomware zet de QEMU-emulator in als een reverse SSH-backdoor om verborgen virtuele machines (VM’s) te draaien op geïnfecteerde systemen. Hierdoor kunnen aanvallers beveiligingsoplossingen op het host-systeem omzeilen, omdat deze de inhoud van de VM’s niet kunnen scannen. QEMU is een open-source CPU-emulator en virtualisatietool waarmee besturingssystemen als VM’s op een hostcomputer kunnen draaien. Door deze techniek kunnen kwaadwillenden payloads uitvoeren, kwaadaardige bestanden opslaan en geheime toegangstunnels via SSH opzetten.

Onderzoekers van cybersecuritybedrijf Sophos hebben twee campagnes gedocumenteerd waarin QEMU werd ingezet om domeincredentials te verzamelen. Eén campagne, aangeduid als STAC4713, werd voor het eerst waargenomen in november 2025 en wordt gelinkt aan de Payouts King ransomware. De andere, STAC3725, is sinds februari actief en maakt gebruik van de CitrixBleed 2-kwetsbaarheid (CVE-2025-5777) in NetScaler ADC en Gateway-instanties.

De STAC4713-campagne wordt toegeschreven aan de GOLD ENCOUNTER-dreigingsgroep, die bekendstaat om aanvallen op hypervisors en encryptors in VMware- en ESXi-omgevingen. Sophos meldt dat de aanvallers een geplande taak met de naam ‘TPMProfiler’ aanmaken om een verborgen QEMU VM als SYSTEM-account te starten. Hierbij worden virtuele schijfbestanden vermomd als databases en DLL-bestanden, en wordt poortforwarding ingesteld om via een reverse SSH-tunnel heimelijke toegang tot het geïnfecteerde systeem te verkrijgen. De VM draait Alpine Linux 3.22.0 met tools zoals AdaptixC2, Chisel, BusyBox en Rclone.

De aanvallers verkregen aanvankelijk toegang via blootgestelde SonicWall VPN’s, terwijl recentere aanvallen ook de SolarWinds Web Help Desk-kwetsbaarheid CVE-2025-26399 misbruikten. In de post-infectiefase gebruikten zij VSS (vssuirun.exe) om een shadow copy te maken en kopieerden via de printopdracht over SMB belangrijke Active Directory-bestanden naar tijdelijke mappen. Latere aanvallen maakten gebruik van andere toegangsmethoden, zoals een blootgestelde Cisco SSL VPN en social engineering via Microsoft Teams, waarbij medewerkers werden misleid om QuickAssist te installeren. In beide gevallen werd de legitieme ADNotificationManager.exe gebruikt om een Havoc C2-payload te laden, waarna Rclone werd ingezet om data naar een externe SFTP-server te exfiltreren.

Volgens een rapport van Zscaler is Payouts King waarschijnlijk verbonden aan voormalige BlackBasta-affiliates, gezien de overeenkomsten in initiële toegangsmethoden zoals spamcampagnes, phishing via Microsoft Teams en misbruik van Quick Assist. De ransomware maakt gebruik van sterke versleuteling met AES-256 (CTR) en RSA-4096, en hanteert een intermittente encryptie voor grotere bestanden. Ransomware-notities verwijzen slachtoffers naar leksites op het dark web.

De tweede campagne, STAC3725, richt zich op het misbruiken van de CitrixBleed 2-kwetsbaarheid om NetScaler-apparaten te compromitteren. Na toegang installeren de aanvallers een ZIP-archief met een kwaadaardig uitvoerbaar bestand dat een service ‘AppMgmt’ aanmaakt, een lokale beheerdergebruiker (CtxAppVCOMService) creëert en een ScreenConnect-client installeert voor blijvende toegang. Deze client verbindt met een externe relay-server om sessies met systeemrechten op te zetten.