O grupo russo de hackers Curly COMrades está explorando o Microsoft Hyper-V no Windows para contornar soluções de endpoint detection and response (EDR).
Eles criam uma máquina virtual oculta baseada em Alpine Linux para executar malware de forma furtiva.
Dentro desse ambiente virtual, o grupo hospeda suas ferramentas personalizadas: o CurlyShell, um reverse shell, e o CurlCat, um reverse proxy.
Essas ferramentas garantem o sigilo operacional e a comunicação segura da infraestrutura maliciosa.
Ativo desde meados de 2024, o Curly COMrades é um grupo focado em ciberespionagem alinhado aos interesses geopolíticos russos.
A Bitdefender já havia revelado suas ações contra órgãos governamentais e judiciários na Geórgia, além de empresas do setor energético na Moldávia.
Com o apoio do CERT da Geórgia, a empresa romena de cibersegurança aprofundou a investigação da mais recente operação desse grupo.
Nos primeiros dias de julho, após obter acesso remoto a duas máquinas, os atacantes ativaram o Hyper-V e desabilitaram sua interface de gerenciamento.
O Hyper-V é a tecnologia nativa de hypervisor da Microsoft que permite a virtualização de hardware em sistemas Windows (Pro e Enterprise) e Windows Server.
Com ela, é possível rodar máquinas virtuais (VMs) diretamente no sistema operacional.
Conforme relatório da Bitdefender divulgado ao BleepingComputer, “os atacantes ativaram a função Hyper-V em sistemas selecionados para implantar uma VM minimalista baseada em Alpine Linux.
Esse ambiente leve — ocupando apenas 120 MB em disco e 256 MB de RAM — hospedava o reverse shell CurlyShell e o proxy reverso CurlCat”.
Ao manter o malware dentro da VM, os hackers conseguiram driblar as detecções tradicionais baseadas no host, que não conseguiam inspecionar o tráfego de comando e controle (C2) gerado dentro da máquina virtual.
Embora o uso de virtualização para evitar detecção não seja uma técnica inédita, a cobertura fragmentada das ferramentas de segurança torna essa abordagem eficaz em redes que carecem de proteção holística e em múltiplas camadas.
Nos ataques do Curly COMrades, a evasão foi reforçada ao nomear a VM como “WSL”, referência ao Windows Subsystem for Linux, recurso legítimo do sistema, na tentativa de passar despercebido.
A VM Alpine Linux foi configurada no Hyper-V para utilizar o adaptador de rede Default Switch, que encaminha todo o tráfego pela pilha de rede da máquina hospedeira.
“Na prática, toda a comunicação maliciosa de saída parece originar do endereço IP legítimo do host”, destacam os pesquisadores da Bitdefender.
As duas ferramentas customizadas implantadas na VM são binários ELF baseados na biblioteca libcurl, usados para execução de comandos e tunelamento de tráfego:
- CurlyShell: executa comandos dentro da VM oculta, mantém persistência via cron job, opera em modo headless e se comunica com o servidor C2 por HTTPS.
- CurlCat: atua como ferramenta complementar quando há necessidade de tunelamento.
Invocado pelo CurlyShell, cria um proxy SOCKS disfarçado, encapsulando tráfego SSH em requisições HTTPS, facilitando o pivotamento e camuflando a comunicação no meio do tráfego legítimo.
Durante a investigação, os especialistas também identificaram que o Curly COMrades utilizou dois scripts PowerShell para garantir persistência e movimentação lateral:
Um injeta um ticket Kerberos no processo LSASS, permitindo autenticação em sistemas remotos e execução de comandos à distância.
O outro, distribuído via Group Policy, cria uma conta local em várias máquinas do mesmo domínio.
Os pesquisadores ressaltam que o nível de sofisticação dessas ações revela um modus operandi focado em furtividade e segurança operacional.
Os payloads embutidos são criptografados, e o uso avançado do PowerShell deixa poucos vestígios forenses nos hosts comprometidos.
Com base nessas descobertas, a Bitdefender recomenda que organizações monitorem ativamente ativações incomuns do Hyper-V, acessos anômalos ao LSASS e execuções de scripts PowerShell via Group Policy que possam redefinir senhas de contas locais ou criar novos usuários.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...