Pesquisadores da Bitdefender identificaram que o grupo de ciberespionagem russo conhecido como Curly COMrades está utilizando o Hyper-V da Microsoft para ocultar atividades maliciosas em máquinas virtuais Linux, contornando ferramentas tradicionais de detecção em endpoints. Os atacantes ativaram o Hyper-V em máquinas comprometidas e implantaram uma máquina virtual baseada no Alpine Linux, extremamente leve, com apenas 120 MB de espaço em disco e 256 MB de memória.
Dentro desse ambiente isolado, operavam duas ferramentas customizadas: CurlyShell, uma reverse shell, e CurlCat, um proxy reverso para túnel de tráfego. Ao executar o malware dentro da VM, os operadores evitaram que soluções de EDR baseadas no host detectassem a comunicação maliciosa. A rede da VM foi configurada para usar o adaptador “Default Switch” do Hyper-V, fazendo com que todo o tráfego parecesse originar-se do IP da máquina legítima. As ferramentas implantadas são binários ELF construídos sobre libcurl. O CurlyShell executa comandos remotamente, com persistência via cron, e se conecta ao servidor de comando e controle por HTTPS. O CurlCat, por sua vez, é ativado sob demanda para criar um proxy SOCKS encoberto, encapsulando tráfego SSH em HTTPS. A campanha foi detectada após invasões em redes da Geórgia e da Moldávia, com a ajuda do CERT da Geórgia.
Além da infraestrutura virtual, o grupo utilizou scripts PowerShell para persistência, incluindo a injeção de tickets Kerberos no LSASS e a criação de contas locais via políticas de grupo. Para manter discrição, os atacantes nomearam a VM como “WSL”, imitando o Windows Subsystem for Linux. Os binários estavam criptografados, dificultando a análise forense. A Bitdefender alerta que o uso de virtualização como camada de evasão deve ser considerado uma ameaça real. Organizações são orientadas a monitorar comportamentos anômalos no Hyper-V e reforçar a detecção de uso indevido de scripts e recursos administrativos.
