Een aan Rusland gelinkte hackgroep, Curly COMrades, maakt gebruik van Microsoft’s Hyper-V om malware op aangetaste Windows-systemen te verbergen, wat een aanzienlijke evolutie markeert in stealth-technieken.
Volgens een rapport van 4 november van een cyberbeveiligingsbedrijf Bitdefender, de groep installeert een kleine Alpine Linux virtuele machine om een geheime operationele basis te creëren.
Deze VM voert aangepaste malware uit, waardoor de aanvallers de Endpoint Detection and Response (EDR)-software kunnen omzeilen.
De techniek, die sinds juli bij aanvallen werd waargenomen, biedt de groep aanhoudende, slecht zichtbare toegang voor cyberspionagecampagnes. Steun voor het onderzoek kwam van het Georgische nationale CERT, wat het verfijnde en mondiale karakter van de dreiging onderstreepte.
Verstoppen in het volle zicht: Native Hyper-V misbruiken voor stealth
In een nieuwe ontwijkingstechniek keren aan Rusland gelinkte hackers een native Windows-functie tegen zichzelf. Voor het eerst geïdentificeerd door Bitdefender in augustus 2025 vanwege het gebruik van COM-kaping, is de groep nu overgestapt op het misbruiken van Hyper-V, het ingebouwde virtualisatieplatform van Microsoft.
In plaats van externe tools in te zetten die Als beveiligingswaarschuwingen kunnen worden geactiveerd, maken de aanvallers gebruik van legitieme systeemcomponenten die al op de doelcomputer aanwezig zijn. Dit is een klassieke ‘leven van het land’-benadering.
Forensische analyse bracht een implementatieproces in meerdere fasen aan het licht. Aanvallers voeren eerst dism-opdrachten uit om de Hyper-V-rol in te schakelen.
Cruciaal is dat ze ook de functie microsoft-hyper-v-Management-clients uitschakelen, waardoor de componenten moeilijker te herkennen zijn voor beheerders.
Als Hyper-V is geactiveerd, downloadt een reeks opdrachten waarbij curl betrokken is, het VM-archief. PowerShell-cmdlets zoals Import-VM en Start-VM starten het vervolgens. Om argwaan verder te voorkomen wordt de VM bedrieglijk’WSL’genoemd, wat het legitieme Windows-subsysteem voor Linux nabootst.
Een geïsoleerd arsenaal: de Alpine Linux VM en aangepaste malware
Door Hyper-V te bewapenen, creëren de bedreigingsactoren een blinde vlek voor veel standaard beveiligingstools.
De kern van deze strategie is een minimalistische virtuele machine gebaseerd op Alpine Linux, een distributie die bekend staat om zijn kleine omvang. De keuze is bewust; de verborgen omgeving heeft een lichtgewicht footprint van slechts 120 MB schijfruimte en 256 MB geheugen, waardoor de impact op het hostsysteem wordt geminimaliseerd.
Binnen deze geïsoleerde omgeving beheert de groep zijn aangepaste malwaresuite. “De aanvallers hebben de Hyper-V-rol op geselecteerde slachtoffersystemen mogelijk gemaakt om een minimalistische, op Alpine Linux gebaseerde virtuele machine in te zetten.”
Deze basis bevat twee belangrijke C++-tools: ‘CurlyShell’, een omgekeerde shell, en ‘CurlCat’, een omgekeerde proxy.
CurlyShell bereikt persistentie binnen de VM via een eenvoudige cron-job op rootniveau. CurlCat is geconfigureerd als een ProxyCommand in de SSH-client, waarbij al het uitgaande SSH-verkeer wordt verpakt in standaard HTTP-verzoeken om op te gaan in. Beide implantaten gebruiken een niet-standaard Base64-alfabet voor codering om detectie te omzeilen.
Om detectie nog moeilijker te maken, gebruikt de VM de standaardschakelaar van Hyper-V, die zijn verkeer via de netwerkstack van de host routeert met behulp van Network Address Translation (NAT).
Zoals Bitdefender opmerkt: “In feite worden alle kwaadaardige uitgaande verbindingen communicatie lijkt afkomstig te zijn van het IP-adres van de legitieme hostmachine.”Dergelijke ontwijkingstactieken worden steeds gebruikelijker.
Voorbij de VM: doorzettingsvermogen en laterale beweging met PowerShell
Terwijl de Hyper-V VM een onopvallende basis biedt, gebruikt Curly COMrades aanvullende tools om doorzettingsvermogen te behouden en lateraal te bewegen.
De onderzoekers ontdekten verschillende kwaadaardige PowerShell-scripts die werden gebruikt om hun positie te verstevigen, wat een gelaagde aanpak voor het behoud demonstreert. toegang.
Eén script, geïmplementeerd via Groepsbeleid, is ontworpen om een lokaal gebruikersaccount te maken op machines die lid zijn van een domein. Herhaaldelijk reset het script het wachtwoord van het account, een slim mechanisme om ervoor te zorgen dat de aanvallers toegang behouden, zelfs als een beheerder de inloggegevens ontdekt en wijzigt.
Een ander geavanceerd PowerShell-script, een aangepaste versie van het openbare hulpprogramma TicketInjector, werd gebruikt voor zijdelingse verplaatsing.
Het injecteert een Kerberos-ticket in de Local Security Authority Subsystem Service (LSASS)-proces, waardoor authenticatie met andere externe systemen mogelijk is zonder dat wachtwoorden in platte tekst nodig zijn.
Deze’pass-the-ticket’-techniek stelt hen in staat opdrachten uit te voeren, gegevens te exfiltreren of extra malware in de omgeving te implementeren. De veelzijdige aanpak benadrukt de operationele volwassenheid van de groep, een kenmerk van door de staat gesponsorde dreigingsactoren.
