Um grupo de hackers ligado à Rússia, Curly COMrades, está transformando o Hyper-V da Microsoft em uma arma para ocultar malware em sistemas Windows comprometidos, marcando uma evolução significativa nas técnicas furtivas.
De acordo com um relatório de 4 de novembro de empresa de segurança cibernética Bitdefender, o grupo instala uma pequena máquina virtual Alpine Linux para criar uma base operacional secreta.
Esta VM executa malware personalizado, permitindo que os invasores contornem o software de detecção e resposta de endpoint (EDR).
Observada em ataques desde julho, a técnica proporciona ao grupo acesso persistente e de baixa visibilidade para campanhas de espionagem cibernética. O apoio à investigação veio do CERT nacional da Geórgia, sublinhando a natureza sofisticada e global da ameaça.
Esconder-se à vista de todos: abusar do Hyper-V nativo para fins furtivos
Numa nova técnica de evasão, hackers ligados à Rússia estão a usar uma funcionalidade nativa do Windows contra si próprios. Identificado pela primeira vez pela Bitdefender em agosto de 2025 pelo uso de sequestro de COM, o grupo agora passou a abusar do Hyper-V, a plataforma de virtualização integrada da Microsoft.
Em vez de implantar recursos externos ferramentas que podem acionar alertas de segurança, os invasores aproveitam componentes legítimos do sistema já presentes na máquina alvo. Esta é uma abordagem clássica de “viver da terra”.
A análise forense revelou um processo de implantação em vários estágios. Os invasores primeiro executam comandos dism para ativar a função Hyper-V.
Crucialmente, eles também desabilitam o recurso microsoft-hyper-v-Management-clients, tornando os componentes mais difíceis de serem detectados pelos administradores.
Com o Hyper-V ativado, uma cadeia de comandos envolvendo curl faz o download do arquivo da VM. Os cmdlets do PowerShell, como Import-VM e Start-VM, iniciam-no. Para evitar ainda mais suspeitas, a VM é enganosamente chamada de “WSL”, imitando o subsistema legítimo do Windows para Linux.
Um arsenal isolado: a VM Alpine Linux e o malware personalizado
Ao armar o Hyper-V, os atores da ameaça criam um ponto cego para muitas ferramentas de segurança padrão.
No centro desta estratégia está uma máquina virtual minimalista baseada no Alpine Linux, uma distribuição conhecida por seu pequeno tamanho. A escolha é deliberada; o ambiente oculto ocupa um espaço leve de apenas 120 MB de espaço em disco e 256 MB de memória, minimizando seu impacto no sistema host.
Dentro desse ambiente isolado, o grupo opera seu conjunto de malware personalizado. “Os invasores habilitaram a função Hyper-V em sistemas de vítimas selecionados para implantar uma máquina virtual minimalista baseada em Alpine Linux.”
Essa base hospeda duas ferramentas C++ principais: ‘CurlyShell’, um shell reverso, e ‘CurlCat’, um proxy reverso.
CurlyShell alcança persistência dentro da VM por meio de um cron job simples no nível raiz. CurlCat é configurado como um ProxyCommand no cliente SSH, agrupando todo o tráfego SSH de saída em solicitações HTTP padrão para se misturar. Ambos os implantes usam um alfabeto Base64 não padrão para codificação para evitar a detecção.
Tornando a detecção ainda mais difícil, a VM usa o switch padrão do Hyper-V, que roteia seu tráfego através da pilha de rede do host usando Network Address Translation (NAT).
Como observa o Bitdefender, “Na verdade, todas as comunicações de saída maliciosas parecem originar-se do endereço IP da máquina host legítima.”Essas táticas de evasão estão se tornando cada vez mais comuns.
Além da VM: persistência e movimento lateral com PowerShell
Embora a VM Hyper-V forneça uma base furtiva, o Curly COMrades emprega ferramentas adicionais para manter a persistência e se mover lateralmente.
Os investigadores descobriram vários scripts maliciosos do PowerShell usados para solidificar sua posição, demonstrando uma abordagem em camadas para manter o acesso.
Um script, implantado por meio de Política de Grupo, foi projetado para criar uma conta de usuário local em máquinas ingressadas no domínio. Repetidamente, o script redefine a senha da conta, um mecanismo inteligente para garantir que os invasores mantenham o acesso mesmo se um administrador descobrir e alterar as credenciais.
Outro script PowerShell sofisticado, uma versão personalizada do utilitário público TicketInjector, foi usado para movimentação lateral.
Ele injeta um ticket Kerberos no Serviço de subsistema de autoridade de segurança local (LSASS), permitindo a autenticação em outros sistemas remotos sem a necessidade de senhas em texto simples.
Essa técnica de “passar o tíquete” permite executar comandos, exfiltrar dados ou implantar malware adicional em todo o ambiente. A abordagem multifacetada destaca a maturidade operacional do grupo, uma marca registrada dos atores de ameaças patrocinados pelo Estado.
