Дослідники зафіксували нову тактику угруповання GOLD ENCOUNTER, яке використовує легітимне програмне забезпечення QEMU для створення невидимих віртуальних середовищ на комп’ютерах жертв. Зловмисники розгортають усередині зламаної системи окремий віртуальний комп’ютер, у якому запускають шкідливий код та інструменти для викрадення паролів. Оскільки захисні програми зазвичай сканують основну операційну систему, активність усередині такої віртуальної машини залишається непомітною для антивірусів та систем моніторингу, що дозволяє хакерам працювати в мережі тижнями без виявлення.

Після закріплення в мережі через QEMU, хакери використовують скомпільовані на місці інструменти, такі як Impacket та BloodHound, для розвідки та переміщення між серверами організації. Кінцевою метою атак став запуск нового вірусу-вимагача PayoutsKing, який шифрує файли та вимагає викуп. У звіті вказано, що зловмисники також використовували стандартні програми Windows, як-от Notepad та Paint, для маскування своїх дій та пошуку мережевих папок із конфіденційною інформацією перед їхнім остаточним блокуванням.