Un gruppo di hacking collegato alla Russia, Curly COMrades, sta utilizzando Hyper-V di Microsoft come arma per nascondere malware sui sistemi Windows compromessi, segnando un’evoluzione significativa nelle tecniche stealth.
Secondo un rapporto del 4 novembre della sicurezza informatica azienda Bitdefender, il gruppo installa una piccola macchina virtuale Alpine Linux per creare una base operativa segreta.
Questa VM esegue malware personalizzato, consentendo agli aggressori di aggirare il software EDR (Endpoint Detection and Response).
Osservata negli attacchi da luglio, la tecnica fornisce al gruppo un accesso persistente e con scarsa visibilità per le campagne di spionaggio informatico. Il supporto all’indagine è arrivato dal CERT nazionale della Georgia, sottolineando la natura sofisticata e globale della minaccia.
Hiding in Plain Sight: Abusing Native Hyper-V for Stealth
Con una nuova tecnica di evasione, gli hacker collegati alla Russia stanno rivoltando contro se stessi una funzionalità nativa di Windows. Identificato per la prima volta da Bitdefender nell’agosto 2025 per l’utilizzo di dirottamento COM, il gruppo è ora passato all’abuso di Hyper-V, la piattaforma di virtualizzazione integrata di Microsoft.
Invece di implementare strumenti esterni che potrebbe attivare avvisi di sicurezza, gli aggressori sfruttano componenti di sistema legittimi già presenti sul computer preso di mira. Questo è il classico approccio del “vivere fuori dalla terra”.
L’analisi forense ha rivelato un processo di distribuzione in più fasi. Gli aggressori eseguono innanzitutto i comandi dism per abilitare il ruolo Hyper-V.
Soprattutto, disabilitano anche la funzionalità microsoft-hyper-v-Management-clients, rendendo i componenti più difficili da individuare per gli amministratori.
Con Hyper-V attivato, una catena di comandi che coinvolgono curl scarica l’archivio VM. I cmdlet di PowerShell come Import-VM e Start-VM lo avviano. Per evitare ulteriori sospetti, la VM viene ingannevolmente chiamata”WSL”, imitando il legittimo sottosistema Windows per Linux.
Un arsenale isolato: la VM Alpine Linux e il malware personalizzato
Armando Hyper-V, gli autori delle minacce creano un punto cieco per molti strumenti di sicurezza standard.
Al centro di questa strategia c’è una macchina virtuale minimalista basata su Alpine Linux, una distribuzione nota per le sue piccole dimensioni. La scelta è deliberata; l’ambiente nascosto ha un ingombro ridotto di soli 120 MB di spazio su disco e 256 MB di memoria, riducendo al minimo l’impatto sul sistema host.
All’interno di questo ambiente isolato, il gruppo gestisce la sua suite malware personalizzata.”Gli aggressori hanno abilitato il ruolo Hyper-V su sistemi vittima selezionati per implementare una macchina virtuale minimalista, basata su Alpine Linux.”
Questa base ospita due strumenti C++ chiave:”CurlyShell”, una shell inversa, e”CurlCat”, un proxy inverso.
CurlyShell raggiunge la persistenza all’interno della VM tramite un semplice processo cron a livello di root. CurlCat è configurato come ProxyCommand nel client SSH, avvolgendo tutto il traffico SSH in uscita in richieste HTTP standard per integrarsi. Entrambi gli impianti utilizzano un alfabeto Base64 non standard per la codifica per eludere il rilevamento.
Rendendo il rilevamento ancora più difficile, la VM utilizza lo switch predefinito di Hyper-V, che instrada il suo traffico attraverso lo stack di rete dell’host utilizzando Network Address Translation (NAT).
Come nota Bitdefender,”In effetto, tutte le comunicazioni dannose in uscita sembrano provenire dall’indirizzo IP della macchina host legittima.”Tali tattiche di evasione stanno diventando sempre più comuni.
Oltre la VM: persistenza e movimento laterale con PowerShell
Mentre la VM Hyper-V fornisce una base furtiva, Curly COMrades utilizza strumenti aggiuntivi per mantenere la persistenza e spostarsi lateralmente.
Gli investigatori hanno scoperto diversi script PowerShell dannosi utilizzati per consolidare il loro punto d’appoggio, dimostrando un approccio a più livelli per il mantenimento accesso.
Uno script, distribuito tramite Criteri di gruppo, è stato progettato per creare un account utente locale sulle macchine aggiunte al dominio. Ripetutamente, lo script reimposta la password dell’account, un meccanismo intelligente per garantire che gli aggressori mantengano l’accesso anche se un amministratore scopre e modifica le credenziali.
Un altro sofisticato script PowerShell, una versione personalizzata dell’utilità pubblica TicketInjector, è stato utilizzato per lo spostamento laterale.
Inserisce un ticket Kerberos nel Local Security Authority Subsystem Service (LSASS), consentendo l’autenticazione su altri sistemi remoti senza bisogno di password in testo semplice.
Questa tecnica”passa il ticket”consente loro di eseguire comandi, esfiltrare dati o distribuire malware aggiuntivo nell’ambiente. L’approccio articolato evidenzia la maturità operativa del gruppo, un segno distintivo degli autori di minacce sponsorizzati dallo stato.
