Curly COMrades, un groupe de hackers lié à la Russie, utilise l’Hyper-V de Microsoft pour dissimuler des logiciels malveillants sur les systèmes Windows compromis, marquant une évolution significative dans les techniques de furtivité.
Selon un du 4 novembre : rapport d’une société de cybersécurité. Bitdefender, le groupe installe une petite machine virtuelle Alpine Linux pour créer une base opérationnelle secrète.
Cette VM exécute des logiciels malveillants personnalisés, permettant aux attaquants de contourner le logiciel de détection et de réponse des points finaux (EDR).
Observé Dans les attaques depuis juillet, la technique fournit au groupe un accès persistant et à faible visibilité pour les campagnes de cyberespionnage. Le soutien à l’enquête est venu du CERT national de Géorgie, soulignant la nature sophistiquée et mondiale de la menace.
Se cacher à la vue de tous : abuser de l’Hyper-V natif à des fins furtives
Dans une nouvelle technique d’évasion, les pirates informatiques liés à la Russie retournent une fonctionnalité native de Windows contre eux-mêmes. Identifié pour la première fois par Bitdefender en août 2025 pour son utilisation du piratage de COM, le groupe a désormais commencé à abuser d’Hyper-V, la plate-forme de virtualisation intégrée de Microsoft.
Au lieu de déployer des outils externes susceptible de déclencher des alertes de sécurité, les attaquants exploitent des composants système légitimes déjà présents sur la machine cible. Il s’agit d’une approche classique de « vivre de la terre ».
L’analyse médico-légale a révélé un processus de déploiement en plusieurs étapes. Les attaquants exécutent d’abord des commandes dism pour activer le rôle Hyper-V.
Ils désactivent également la fonctionnalité Microsoft-hyper-v-Management-clients, ce qui rend les composants plus difficiles à repérer pour les administrateurs.
Avec Hyper-V activé, une chaîne de commandes impliquant curl télécharge l’archive de la VM. Les applets de commande PowerShell comme Import-VM et Start-VM la lancent ensuite. Pour éviter davantage tout soupçon, la machine virtuelle est nommée de manière trompeuse « WSL », imitant le sous-système Windows légitime pour Linux.
Un arsenal isolé : la machine virtuelle Alpine Linux et les logiciels malveillants personnalisés
En militant Hyper-V, les acteurs de la menace créent un angle mort pour de nombreux outils de sécurité standard.
Au cœur de cette stratégie se trouve une machine virtuelle minimaliste basée sur Alpine Linux, une distribution connue pour sa petite taille. Le choix est délibéré ; l’environnement caché a une empreinte légère de seulement 120 Mo d’espace disque et 256 Mo de mémoire, minimisant ainsi son impact sur le système hôte.
Au sein de cet environnement isolé, le groupe exploite sa suite de logiciels malveillants personnalisée.”Les attaquants ont activé le rôle Hyper-V sur les systèmes victimes sélectionnés pour déployer une machine virtuelle minimaliste basée sur Alpine Linux.”
Cette base héberge deux outils C++ clés :”CurlyShell”, un shell inverse, et”CurlCat”, un proxy inverse.
CurlyShell assure la persistance au sein de la VM via une simple tâche cron au niveau racine. CurlCat est configuré en tant que ProxyCommand dans le client SSH, encapsulant tout le trafic SSH sortant dans des requêtes HTTP standard pour se fondre dans l’ensemble. Les deux implants utilisent un alphabet Base64 non standard pour l’encodage afin d’échapper à la détection.
Pour rendre la détection encore plus difficile, la VM utilise le commutateur par défaut d’Hyper-V, qui achemine son trafic via la pile réseau de l’hôte à l’aide de la traduction d’adresses réseau (NAT).
Comme le note Bitdefender : « En fait, tous les messages sortants malveillants sont malveillants. la communication semble provenir de l’adresse IP légitime de la machine hôte. De telles tactiques d’évasion sont de plus en plus courantes.
Au-delà de la VM : persistance et mouvement latéral avec PowerShell
Alors que la VM Hyper-V fournit une base furtive, Curly COMrades utilise des outils supplémentaires pour maintenir la persistance et se déplacer latéralement.
Les enquêteurs ont découvert plusieurs scripts PowerShell malveillants utilisés pour consolider leur emprise, démontrant une approche à plusieurs niveaux pour maintenir accès.
Un script, déployé via la stratégie de groupe, a été conçu pour créer un compte utilisateur local sur les machines appartenant au domaine. À plusieurs reprises, le script réinitialise le mot de passe du compte, un mécanisme intelligent pour garantir que les attaquants conservent l’accès même si un administrateur découvre et modifie les informations d’identification.
Un autre script PowerShell sophistiqué, une version personnalisée de l’utilitaire public TicketInjector, a été utilisé pour le mouvement latéral.
Il injecte un ticket Kerberos dans le Processus LSASS (Local Security Authority Subsystem Service), permettant l’authentification sur d’autres systèmes distants sans avoir besoin de mots de passe en clair.
Cette technique de « transmission du ticket » leur permet d’exécuter des commandes, d’exfiltrer des données ou de déployer des logiciels malveillants supplémentaires dans l’environnement. L’approche à multiples facettes met en évidence la maturité opérationnelle du groupe, une caractéristique des acteurs menaçants parrainés par l’État.
