En russisk-tilknyttet hackergruppe, Curly COMrades, våpner Microsofts Hyper-V for å skjule skadevare på kompromitterte Windows-systemer, noe som markerer en betydelig utvikling innen stealth-teknikker.
I følge en 4. november rapport fra nettsikkerhetsfirmaet Bitdefender, gruppen installerer en liten virtuell Alpine Linux-maskin for å lage en hemmelig operasjonsbase.
Dette lar VM kjører det tilpassede angrepet. response (EDR)-programvare.
Teknikken er observert i angrep siden juli, og gir gruppen en vedvarende kampanje med lav synlighet for aldersgrense. Støtte til etterforskningen kom fra Georgias nasjonale CERT, som understreker trusselens sofistikerte og globale natur.
Hiding in Plain Sight: Abusing Native Hyper-V for Stealth
I en ny unnvikelsesteknikk snur russisk-tilknyttede hackere en innebygd Windows-funksjon mot seg selv. Først identifisert av Bitdefender i august 2025 for sin bruk av COM-kapring, har gruppen nå gått over til å misbruke bygde Hyper-V-plattformer i stedet for Microsofts virtuelle plattformer. eksterne verktøy som kan utløse sikkerhetsvarsler, utnytter angriperne legitime systemkomponenter som allerede finnes på målmaskinen. Dette er en klassisk”living-off-the-land”-tilnærming.
Forensisk analyse avslørte en flertrinns distribusjonsprosess. Angripere utfører først dism-kommandoer for å aktivere Hyper-V-rollen.
Det er avgjørende at de også deaktiverer microsoft-hyper-v-Management-clients-funksjonen, noe som gjør komponentene vanskeligere for administratorer å oppdage.
Med Hyper-V aktivert, laster en kjede av kommandoer som involverer curl ned VM-arkivet. PowerShell-cmdlets som Import-VM og Start-VM starter den deretter. For ytterligere å unngå mistanke, heter VM det villedende navnet”WSL”, og etterligner det legitime Windows-undersystemet for Linux.
An Isolated Arsenal: The Alpine Linux VM and Custom Malware
Våpen med Hyper-V, trusselaktørene skaper en blindsone for mange standard sikkerhetsverktøy.
Kjernen i denne strategien er en minimalistisk virtuell maskin basert på Alpine Linux, en distribusjon kjent for sin lille størrelse. Valget er bevisst; det skjulte miljøet har et lett fotavtrykk på bare 120 MB diskplass og 256 MB minne, noe som minimerer innvirkningen på vertssystemet.
Inne i dette isolerte miljøet driver gruppen sin egendefinerte malware-pakke.”Angriperne aktivert Hyper-V-rollen på utvalgte offersystemer for å distribuere en minimalistisk, alpin Linux-basert virtuell maskin.”
Denne basen er vert for to nøkkelverktøy for C++: ‘CurlyShell’, et omvendt skall og ‘CurlCat’, en omvendt proxy.
CurlyShell-roten VM oppnår utholdenhet i en enkel jobb. CurlCat er konfigurert som en ProxyCommand i SSH-klienten, og pakker all utgående SSH-trafikk inn i standard HTTP-forespørsler for å blande seg inn. Begge implantatene bruker et ikke-standard Base64-alfabet for koding for å unngå deteksjon.
For å gjøre deteksjonen enda vanskeligere, bruker VM Hyper-Vs standard-nettverkssvitsj, som bruker vertens oversettelses-adresser gjennom nettverksadressen. (NAT).
Som Bitdefender bemerker,”I realiteten ser det ut til at all ondsinnet utgående kommunikasjon stammer fra den legitime vertsmaskinens IP-adresse.”Slike unnvikelsestaktikker blir stadig mer vanlige.
Utover VM: Utholdenhet og lateral bevegelse med PowerShell
Mens Hyper-V VM gir en snikende base, bruker Curly COMrades ytterligere verktøy for å opprettholde utholdenhet og flytte uønsket PowerShell på siden.
brukes til å styrke fotfestet deres, og demonstrerer en lagdelt tilnærming til å opprettholde tilgang.
Ett skript, distribuert via gruppepolicy, ble designet for å opprette en lokal brukerkonto på domenetilknyttede maskiner. Gjentatte ganger tilbakestiller skriptet kontoens passord, en smart mekanisme for å sikre at angriperne beholder tilgang selv om en administrator oppdager og endrer legitimasjonen.
Et annet sofistikert PowerShell-skript, en tilpasset versjon av det offentlige TicketInjector-verktøyet, ble brukt for sideveis bevegelse.
Det injiserer en billett inn i Kerberaos. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Local Security Authority Subsystem Service (LSASS)-prosess, som tillater autentisering til andre eksterne systemer uten å trenge passord i ren tekst.
Denne”pass-the-ticket”-teknikken gjør det mulig for dem å utføre, distribuere, distribuere eller utrulle. Den mangefasetterte tilnærmingen fremhever gruppens operasjonelle modenhet, et kjennetegn på statsstøttede trusselaktører.
