Угруповання вимагачів, відоме як Payouts King, почало застосовувати нестандартну техніку приховування своїх дій. Хакери використовують легітимну програму-емулятор QEMU для створення прихованих віртуальних машин безпосередньо в оперативній пам’яті зламаного комп’ютера. Віртуальна машина працює як «комп’ютер у комп’ютері», створюючи зворотний тунель SSH до сервера зловмисників. Це дозволяє хакерам керувати атакою дистанційно, залишаючись непоміченими для систем безпеки хост-комп’ютера.

Основна небезпека методу полягає в тому, що сучасні антивірусні рішення не мають доступу до процесів, які відбуваються всередині віртуальної машини QEMU. Хакери спочатку проникають у мережу через стару вразливість у Citrix (CVE-2025-5777), а потім розгортають віртуальне середовище для викрадення паролів адміністраторів домену. Після збору необхідних даних зловмисники запускають процес шифрування файлів. Оскільки шкідливий код виконується у віртуальному просторі, традиційні механізми захисту від програм-вимагачів часто не спрацьовують вчасно, що призводить до повної зупинки бізнес-процесів атакованих організацій.