Eine mit Russland verbundene Hackergruppe, Curly COMrades, nutzt Microsofts Hyper-V als Waffe, um Malware auf kompromittierten Windows-Systemen zu verstecken, was eine bedeutende Weiterentwicklung der Stealth-Techniken darstellt.
Laut einem Bericht vom 4. November Das Cybersicherheitsunternehmen Bitdefender installiert die Gruppe eine kleine virtuelle Alpine-Linux-Maschine, um eine geheime Betriebsbasis zu schaffen.
Auf dieser VM wird benutzerdefinierte Malware ausgeführt, die es den Angreifern ermöglicht, Endpoint Detection and Response (EDR)-Software zu umgehen.
Die seit Juli bei Angriffen beobachtete Technik ermöglicht der Gruppe einen dauerhaften, kaum sichtbaren Zugang für Cyberspionagekampagnen. Unterstützung für die Untersuchung kam von Georgiens nationalem CERT, was den raffinierten und globalen Charakter der Bedrohung unterstreicht.
Versteckt vor aller Augen: Missbrauch von nativem Hyper-V zur Tarnung
In einer neuartigen Umgehungstechnik richten mit Russland verbundene Hacker eine native Windows-Funktion gegen sich selbst aus. Die Gruppe wurde erstmals im August 2025 von Bitdefender wegen der Verwendung von COM-Hijacking identifiziert und ist nun dazu übergegangen, Hyper-V, die integrierte Virtualisierungsplattform von Microsoft, zu missbrauchen.
Stattdessen Durch den Einsatz externer Tools, die möglicherweise Sicherheitswarnungen auslösen, nutzen die Angreifer legitime Systemkomponenten, die bereits auf dem Zielcomputer vorhanden sind. Dies ist ein klassischer „Living-off-the-land“-Ansatz.
Die forensische Analyse ergab einen mehrstufigen Bereitstellungsprozess. Angreifer führen zunächst dism-Befehle aus, um die Hyper-V-Rolle zu aktivieren.
Entscheidend ist, dass sie auch die Microsoft-Hyper-V-Management-Clients-Funktion deaktivieren, wodurch die Komponenten für Administratoren schwerer zu erkennen sind.
Bei aktiviertem Hyper-V lädt eine Befehlskette mit Curl das VM-Archiv herunter. PowerShell-Cmdlets wie Import-VM und Start-VM starten es dann. Um den Verdacht noch weiter zu vermeiden, wird die VM fälschlicherweise „WSL“ genannt und ahmt das legitime Windows-Subsystem für Linux nach.
Ein isoliertes Arsenal: Die Alpine Linux VM und benutzerdefinierte Malware
Die Bedrohungsakteure bewaffnen Hyper-V und schaffen einen blinden Fleck für viele Standard-Sicherheitstools.
Im Mittelpunkt dieser Strategie steht eine minimalistische virtuelle Maschine, die auf Alpine Linux basiert, einer Distribution, die für ihre geringe Größe bekannt ist. Die Wahl ist bewusst; Die versteckte Umgebung hat einen geringen Platzbedarf von nur 120 MB Festplattenspeicher und 256 MB Arbeitsspeicher und minimiert so die Auswirkungen auf das Hostsystem.
In dieser isolierten Umgebung betreibt die Gruppe ihre benutzerdefinierte Malware-Suite. „Die Angreifer haben die Hyper-V-Rolle auf ausgewählten Opfersystemen aktiviert, um eine minimalistische, auf Alpine Linux basierende virtuelle Maschine bereitzustellen.“
Diese Basis hostet zwei wichtige C++-Tools: „CurlyShell“, eine Reverse-Shell, und „CurlCat“, ein Reverse-Proxy.
CurlyShell erreicht Persistenz innerhalb der VM über einen einfachen Cron-Job auf Root-Ebene. CurlCat ist als ProxyCommand im SSH-Client konfiguriert und verpackt den gesamten ausgehenden SSH-Verkehr in Standard-HTTP-Anfragen, um sich einzumischen. Beide Implantate verwenden ein nicht standardmäßiges Base64-Alphabet für die Codierung, um einer Erkennung zu entgehen.
Um die Erkennung noch schwieriger zu machen, verwendet die VM den Standard-Switch von Hyper-V, der ihren Datenverkehr mithilfe von Network Address Translation (NAT) über den Netzwerkstapel des Hosts leitet.
Wie Bitdefender feststellt: „Im Grunde alles bösartig Die ausgehende Kommunikation scheint von der IP-Adresse des legitimen Host-Computers zu stammen.“ Solche Umgehungstaktiken kommen immer häufiger vor.
Jenseits der VM: Persistenz und seitliche Bewegung mit PowerShell
Während die Hyper-V-VM eine heimliche Basis bietet, setzt Curly COMrades zusätzliche Tools ein, um die Persistenz aufrechtzuerhalten und sich seitlich zu bewegen.
Die Ermittler entdeckten mehrere bösartige PowerShell-Skripte, die zur Festigung ihres Standes verwendet wurden, und demonstrierten einen mehrschichtigen Ansatz Aufrechterhaltung des Zugriffs.
Ein über Gruppenrichtlinien bereitgestelltes Skript wurde entwickelt, um ein lokales Benutzerkonto auf in die Domäne eingebundenen Computern zu erstellen. Das Skript setzt das Passwort des Kontos wiederholt zurück, ein cleverer Mechanismus, um sicherzustellen, dass die Angreifer auch dann Zugriff behalten, wenn ein Administrator die Anmeldeinformationen entdeckt und ändert.
Ein weiteres ausgefeiltes PowerShell-Skript, eine angepasste Version des öffentlichen TicketInjector-Dienstprogramms, wurde für die seitliche Bewegung verwendet.
Es fügt ein Kerberos-Ticket in das Local Security Authority Subsystem Service (LSASS)-Prozess, der die Authentifizierung gegenüber anderen Remote-Systemen ermöglicht, ohne dass Klartext-Passwörter erforderlich sind.
Diese „Pass-the-Ticket“-Technik ermöglicht es ihnen, Befehle auszuführen, Daten zu exfiltrieren oder zusätzliche Malware in der gesamten Umgebung bereitzustellen. Der vielschichtige Ansatz unterstreicht die operative Reife der Gruppe, ein Markenzeichen staatlich geförderter Bedrohungsakteure.
