根据Sophos报告，威胁行为体正滥用跨平台开源机器模拟器QEMU，用于部署勒索软件和远程访问工具。自2025年底以来，此类滥用活动有所增加。在2025年11月首次观测到、追踪为STAC4713的活动中，攻击者利用QEMU作为隐蔽的反向SSH后门，用于投递有效载荷和窃取凭证。攻击最初针对未启用多因素认证（MFA）的暴露SonicWall VPN，后转向利用SolarWinds Web Help Desk中的远程代码执行（RCE）漏洞CVE-2025-26399。攻击者创建计划任务以启动具有System权限的QEMU虚拟机并建立持久性，通过虚拟硬盘镜像建立反向SSH隧道。Sophos将此次攻击归因于运营PayoutsKing勒索软件的封闭黑客组织Gold Encounter。2026年2月，Sophos观测到第二起滥用QEMU的活动（追踪为STAC3725），其利用CVE-2025-5777（CitrixBleed2漏洞）获取初始访问权限，并使用恶意ScreenConnect客户端实现持久化。攻击者在虚拟机内手动执行攻击，部署了约十几个工具和库，进行凭证窃取、Kerberos用户名枚举、Active Directory侦察、载荷暂存和数据外泄。Sophos建议组织排查未经授权的QEMU安装、可疑计划任务、异常端口转发规则，并监控出站SSH隧道。