Kelompok peretas yang terkait dengan Rusia, Curly COMrades, mempersenjatai Hyper-V Microsoft untuk menyembunyikan malware di sistem Windows yang disusupi, menandai evolusi signifikan dalam teknik siluman.
Menurut laporan 4 November dari perusahaan keamanan siber Bitdefender, grup ini memasang mesin virtual kecil Alpine Linux untuk membuat basis operasional rahasia.
VM ini menjalankan malware khusus, sehingga penyerang dapat melewati perangkat lunak deteksi dan respons titik akhir (EDR).
Teramati dalam serangan sejak bulan Juli, teknik ini memberi kelompok tersebut akses yang persisten dan visibilitas rendah untuk kampanye spionase dunia maya. Dukungan untuk penyelidikan ini datang dari CERT nasional Georgia, yang menggarisbawahi sifat canggih dan global dari ancaman tersebut.
Bersembunyi dalam Pandangan Biasa: Menyalahgunakan Hyper-V Asli untuk Stealth
Dalam teknik penghindaran baru, peretas yang terkait dengan Rusia mengubah fitur asli Windows untuk merugikan dirinya sendiri. Pertama kali diidentifikasi oleh Bitdefender pada bulan Agustus 2025 karena penggunaan pembajakan COM, grup tersebut kini beralih ke penyalahgunaan Hyper-V, platform virtualisasi bawaan Microsoft.
Daripada menggunakan alat eksternal yang mungkin memicu peringatan keamanan, penyerang memanfaatkan komponen sistem sah yang sudah ada di mesin target. Ini adalah pendekatan klasik “hidup di luar negeri”.
Analisis forensik mengungkapkan proses penerapan multi-tahap. Penyerang terlebih dahulu menjalankan perintah dism untuk mengaktifkan peran Hyper-V.
Yang terpenting, mereka juga menonaktifkan fitur microsoft-hyper-v-Management-clients, sehingga membuat komponen lebih sulit dikenali oleh administrator.
Dengan mengaktifkan Hyper-V, rangkaian perintah yang melibatkan curl akan mengunduh arsip VM. Cmdlet PowerShell seperti Import-VM dan Start-VM lalu luncurkan. Untuk lebih menghindari kecurigaan, VM tersebut diberi nama “WSL”, yang meniru Subsistem Windows yang sah untuk Linux.
Persenjataan Terisolasi: VM Alpine Linux dan Malware Khusus
Dengan mempersenjatai Hyper-V, pelaku ancaman menciptakan titik buta bagi banyak alat keamanan standar.
Inti dari strategi ini adalah mesin virtual minimalis berdasarkan Alpine Linux, sebuah distribusi yang terkenal dengan ukurannya yang kecil. Pilihannya disengaja; lingkungan tersembunyi ini memiliki ukuran yang ringan, yaitu hanya 120MB ruang disk dan 256MB memori, sehingga meminimalkan dampaknya terhadap sistem host.
Di dalam lingkungan terisolasi ini, grup ini mengoperasikan rangkaian malware khusus miliknya. “Penyerang mengaktifkan peran Hyper-V pada sistem korban terpilih untuk menerapkan mesin virtual minimalis berbasis Alpine Linux.”
Pangkalan ini menampung dua alat utama C++:’CurlyShell’, sebuah shell terbalik, dan’CurlCat’, sebuah proxy terbalik.
CurlyShell mencapai persistensi dalam VM melalui pekerjaan cron tingkat root yang sederhana. CurlCat dikonfigurasikan sebagai ProxyCommand di klien SSH, menggabungkan semua lalu lintas SSH keluar ke dalam permintaan HTTP standar untuk digabungkan. Kedua implan menggunakan alfabet Base64 non-standar untuk pengkodean guna menghindari deteksi.
Membuat deteksi menjadi lebih sulit, VM menggunakan Sakelar Default Hyper-V, yang merutekan lalu lintasnya melalui tumpukan jaringan host menggunakan Network Address Translation (NAT).
Seperti yang dicatat oleh Bitdefender, “Pada dasarnya, semua berbahaya komunikasi keluar tampaknya berasal dari alamat IP mesin host yang sah.”Taktik penghindaran seperti ini menjadi semakin umum.
Di luar VM: Persistensi dan Gerakan Lateral dengan PowerShell
Meskipun VM Hyper-V menyediakan basis tersembunyi, Curly COMrades menggunakan alat tambahan untuk mempertahankan persistensi dan bergerak ke samping.
Para penyelidik menemukan beberapa skrip PowerShell berbahaya yang digunakan untuk memperkuat pijakan mereka, menunjukkan pendekatan berlapis untuk mempertahankan akses.
Satu skrip, yang diterapkan melalui Kebijakan Grup, dirancang untuk membuat akun pengguna lokal pada mesin yang bergabung dengan domain. Berulang kali, skrip ini menyetel ulang sandi akun, sebuah mekanisme cerdas untuk memastikan penyerang tetap memiliki akses meskipun administrator menemukan dan mengubah kredensialnya.
Skrip PowerShell canggih lainnya, versi khusus dari utilitas TicketInjector publik, digunakan untuk pergerakan lateral.
Skrip ini memasukkan tiket Kerberos ke dalam Layanan Subsistem Otoritas Keamanan Lokal (LSASS), memungkinkan autentikasi ke sistem jarak jauh lainnya tanpa memerlukan sandi teks biasa.
Teknik “pass-the-ticket” ini memungkinkan mereka menjalankan perintah, mengambil data, atau menyebarkan malware tambahan ke seluruh lingkungan. Pendekatan multi-aspek ini menyoroti kematangan operasional kelompok tersebut, yang merupakan ciri khas aktor ancaman yang disponsori negara.
