Se ha observado que un atacante conocido como Curly COMrades explota la tecnología de virtualización como una forma de eludir las soluciones de seguridad y ejecutar malware personalizado.
Según un nuevo informe de Bitdefender, los atacantes supuestamente habilitaron la función Hyper-V en sistemas víctimas seleccionados e implementaron máquinas virtuales mínimas basadas en Alpine Linux.
«Este entorno oculto ocupaba poco espacio (sólo 120 MB de espacio en disco y 256 MB de memoria) y alojaba un shell inverso personalizado, CurlyShell, y un proxy inverso, CurlCat», escribieron los investigadores de seguridad Victor Vrabie, Adrian Schipor y Martin Zugec en un informe técnico.
Curly COMrades fue documentado por primera vez por un proveedor rumano de ciberseguridad en agosto de 2025 en relación con una serie de ataques dirigidos a Georgia y Moldavia. Este grupo de actividades ha estado activo desde finales de 2023 y se considera que tiene intereses alineados con Rusia.
Estos ataques implementaron herramientas como CurlCat para la transferencia de datos bidireccional, RuRat para el acceso remoto persistente, Mimikatz para la recolección de credenciales y un implante modular .NET llamado MucorAgent, cuyas primeras iteraciones se remontan a noviembre de 2023.
El análisis de seguimiento realizado en colaboración con Georgia CERT identificó herramientas adicionales asociadas con actores de amenazas junto con intentos de convertir Hyper-V en hosts de Windows 10 comprometidos y establecer acceso a largo plazo mediante la configuración de entornos operativos remotos ocultos.
«Al aislar el malware y su entorno de ejecución dentro de una VM, los atacantes evadieron efectivamente muchas detecciones EDR tradicionales basadas en host», dijeron los investigadores. «Los atacantes demostraron un claro compromiso de mantener la funcionalidad del proxy inverso e introdujeron repetidamente nuevas herramientas en el entorno».
Además de utilizar métodos basados en Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel y SSH para proxy y tunelización, Curly COMrades emplea una variedad de otras herramientas, incluidos scripts de PowerShell diseñados para la ejecución remota de comandos y CurlyShell, un binario ELF previamente no documentado implementado en máquinas virtuales que proporciona un shell inverso persistente.
El malware está escrito en C++ y se ejecuta como un demonio en segundo plano sin cabeza que se conecta a un servidor de comando y control (C2) y lanza un shell inverso, lo que permite al atacante ejecutar comandos cifrados. La comunicación sondea el servidor en busca de nuevos comandos a través de solicitudes HTTP GET y envía los resultados de la ejecución del comando al servidor mediante solicitudes HTTP POST.
«Dos familias de malware personalizado, CurlyShell y CurlCat, estaban en el centro de esta actividad, y aunque compartían una base de código casi idéntica, procesaban los datos entrantes de manera diferente. CurlyShell ejecutaba comandos directamente, mientras que CurlCat canalizaba el tráfico a través de SSH», dijo Bitdefender. «Estas herramientas se introdujeron y operaron para garantizar un control flexible y adaptabilidad».
Source link
