Netcrook Logo
👤 SECPULSE
🗓️ 18 Apr 2026   🗂️ Cyber Warfare    

Sombras Virtuales: Cómo el Ransomware Payouts King Usa Máquinas Ocultas para Burlar las Defensas

Los ciberdelincuentes están secuestrando la virtualización para deslizar ransomware más allá de la seguridad de los endpoints, desatando una sofisticada nueva ola de ataques.

En el mundo de alto riesgo del cibercrimen, la innovación es implacable. ¿La última vuelta de tuerca? Las bandas de ransomware ya no se conforman con infiltrar código malicioso en tu sistema: ahora crean mundos virtuales enteros dentro de tu ordenador, justo bajo tus narices. La notoria operación de ransomware Payouts King ha sido sorprendida in fraganti utilizando la plataforma de virtualización QEMU para lanzar máquinas virtuales (VMs) Linux ocultas, evadiendo las herramientas de seguridad y tomando el control de redes objetivo con una precisión escalofriante.

Datos Rápidos

  • El ransomware Payouts King aprovecha máquinas virtuales QEMU para ocultar actividades maliciosas de las herramientas de seguridad basadas en el host.
  • Los atacantes utilizan túneles SSH reversos y tareas programadas encubiertas para mantener el acceso remoto y la persistencia.
  • Los vectores de acceso inicial incluyen VPNs expuestas, phishing a través de Microsoft Teams, abuso de Quick Assist y explotación de vulnerabilidades importantes como CitrixBleed 2 y fallos en SolarWinds.
  • La operación tiene vínculos con antiguos afiliados de BlackBasta y emplea una fuerte ofuscación, anti-análisis y esquemas de cifrado robustos.
  • Las víctimas son dirigidas a sitios de filtración en la dark web mediante notas de rescate, con datos robados exfiltrados a través de herramientas como Rclone y servidores FTP.

La destreza técnica en el corazón de estos ataques es tanto simple como perversa. QEMU, un emulador de código abierto diseñado para la virtualización legítima, está siendo convertido en arma: los atacantes despliegan VMs Alpine Linux sigilosas como procesos a nivel de SYSTEM, haciéndolas invisibles para la mayoría de los sistemas de detección de endpoints. Dentro de estas fortalezas virtuales, los atacantes esconden sus cargas útiles de ransomware, kits de robo de credenciales y utilidades de acceso remoto. Dado que las soluciones de seguridad tradicionales no pueden inspeccionar fácilmente estos entornos aislados, los atacantes operan con impunidad - recopilando credenciales de dominio, preparando datos robados e incluso instalando mecanismos de persistencia como ScreenConnect para acceso continuo.

Investigadores de Sophos han rastreado dos campañas principales atribuidas al grupo de amenazas GOLD ENCOUNTER, conocido por atacar hipervisores y utilizar cifradores de ransomware avanzados. En una campaña, los atacantes vulneraron redes a través de VPNs SonicWall y Cisco expuestas, o engañando a empleados por Teams para instalar herramientas de asistencia remota. Una vez dentro, cargaban cargas maliciosas y utilizaban herramientas como Rclone para extraer datos sensibles a servidores remotos. Otra campaña explotó la destacada vulnerabilidad CitrixBleed 2, permitiendo a los atacantes comprometer dispositivos NetScaler y desplegar su plataforma de ataque virtual.

Es notable que los atacantes no dependen únicamente de malware preempaquetado. Dentro de sus VMs ocultas, compilan e instalan manualmente un arsenal de herramientas de código abierto y personalizadas - desde extractores de credenciales hasta kits de reconocimiento de Active Directory - demostrando tanto habilidad técnica como un profundo conocimiento de entornos empresariales. El cifrado se ejecuta con algoritmos de fuerza industrial AES-256 y RSA-4096, mientras que las notas de rescate dirigen a las víctimas a portales de extorsión ocultos en la dark web.

Los expertos advierten que detectar estos ataques requiere un cambio de mentalidad: los defensores deben buscar señales reveladoras de uso no autorizado de QEMU, tareas programadas a nivel de SYSTEM y túneles SSH inusuales, no solo firmas clásicas de malware. A medida que las bandas de ransomware continúan innovando, la línea entre herramientas legítimas de TI y armas criminales se vuelve cada vez más difusa - obligando a las organizaciones a replantearse sus suposiciones sobre lo que acecha en sus redes.

A medida que los ciberdelincuentes recurren a la virtualización para encubrir sus operaciones, los defensores se enfrentan a una nueva y desalentadora frontera. La batalla por la empresa ya no consiste solo en detectar archivos sospechosos - se trata de desenmascarar mundos ocultos enteros antes de que tomen tus datos como rehenes.

WIKICROOK

  • QEMU: QEMU es un emulador de máquinas de código abierto que permite ejecutar máquinas virtuales, utilizado a menudo en ciberseguridad para pruebas seguras de software y firmware.
  • Túnel SSH Reverso: Un túnel SSH reverso crea una conexión cifrada saliente desde un sistema remoto, permitiendo el acceso remoto incluso a través de firewalls o NAT.
  • Tarea Programada: Una tarea programada es una acción automatizada de Windows que ejecuta programas o comandos en momentos o eventos definidos, a menudo objetivo de atacantes para mantener persistencia.
  • VM (Máquina Virtual): Una VM es una emulación informática basada en software, que ejecuta su propio sistema operativo y aplicaciones en aislamiento para mejorar la seguridad y flexibilidad.
  • Rclone: Rclone es una herramienta de línea de comandos para gestionar archivos entre servicios en la nube, pero también es explotada por ciberdelincuentes para robo y exfiltración de datos.
Ransomware Cybercrime Virtualization
SECPULSE SECPULSE
SOC Detection Lead
← Back to news