Вредоносные программы всё чаще используют виртуальные машины для скрытия своих инструментов. Операторы Payouts King задействуют QEMU, чтобы запускать виртуальные машины на уже скомпрометированных системах. Это затрудняет работу антивирусов и других средств защиты, так как они не контролируют внутреннее содержание виртуальной машины. QEMU, предназначенный для эмуляции процессоров, позволяет злоумышленникам хранить вредоносные файлы и разворачивать инструменты для дальнейших атак. Исследователи Sophos проанализировали две кампании STAC4713 и STAC3725, в которых злоумышленники использовали уязвимости для первоначального доступа. В обеих кампаниях злоумышленники использовали QEMU для сбора доменных учётных данных и дальнейших атак. Sophos советует компаниям быть внимательными к несанкционированным установкам QEMU и необычным запланированным задачам.