利用虚拟机（VM）从事攻击行动的事故，约莫5至10年前曾出现数起，当时黑客使用搭配旧版窗口操作系统（如Windows XP）的VM，意图突破受害电脑的资安防护机制，进行恶意活动，如今类似的攻击行动再度出现。

资安业者Securonix揭露名为Cron#Trap的资安事故，他们在调查利用恶意捷径文件（LNK）的攻击行动当中，发现该文件一旦运行，就会加载并启动以QEMU打造的Linux环境，而且，这些VM已经事先设置了后门程序，启动后会自动与C2进行连接。

研究人员指出，由于在开发环境或是研究经常会使用QEMU，攻击者运用这样的做法，能够在受害电脑维持隐形的状态，并进行后续的恶意活动，且难以被杀毒软件察觉。研究人员提到，这是他们首度看到有攻击者将QEMU用于挖矿以外的攻击行动。

针对攻击者与受害范围，研究人员表示尚无法确定，根据遥测数据，大多数攻击来自美国及欧洲，再加上黑客惯用的语言，以及C2服务器位于美国，他们推测主要目标很有可能是北美。

针对这波攻击行动，研究人员无法确定攻击来源，不过他们认为整个攻击流程的开始源于钓鱼邮件，内容包含下载ZIP压缩档的链接。黑客假冒金融机构OneAmerica的名义，声称要进行调查。值得一提的是，这个ZIP文件大小竟高达285 MB，可能会引起部分用户怀疑。

究竟该压缩档的内容是什么？当中包含了LNK文件及名为data的文件夹，而该文件夹实际上就是QEMU程序的安装目录。由于data文件夹里面的内容全部都被设为隐藏，一般用户可能会以为里面空无一物，而点击LNK文件触发攻击链。

一旦LNK文件运行，就会启动PowerShell下载其他需要的组件，然后运行批量档start.bat进行组态设置，并启动在QEMU运行以Tiny Core Linux为基础打造的VM，他们将其称为PivotBox。

特别的是，该批量档还会下载、显示内部服务器错误的PNG图档，借此让收信人降低戒心。

而这个VM预载的工具当中，关键是名为Chisel的网络隧道建构与运作工具，攻击者通过事先安排的组态设置，通过Web Socket与C2创建通信。

值得留意的是，滥用QEMU的情况已非首例。今年3月，资安业者卡巴斯基揭露另一起网络攻击事故，当中黑客使用QEMU设置虚拟网络界面，并使用Kali Linux打造只占用1 MB内存的VM来建置隐密的隧道。