En rysk-länkad hackergrupp, Curly COMrades, beväpnar Microsofts Hyper-V för att dölja skadlig programvara på komprometterade Windows-system, vilket markerar en betydande utveckling av stealth-tekniker.
Enligt en 4 november rapport från cybersäkerhetsföretaget Bitdefender, gruppen installerar en liten virtuell Alpine Linux-maskin för att skapa en hemlig operativ bas.
Detta låter VM köra den anpassade attacken för att hitta skadlig programvara. response (EDR) programvara.
Tekniken, som observerats i attacker sedan juli, ger gruppen en ihållande kampanj med låg synlighet för åldersgräns. Stöd för utredningen kom från Georgiens nationella CERT, vilket understryker hotets sofistikerade och globala karaktär.
Hiding in Plain Sight: Abusing Native Hyper-V for Stealth
I en ny undandragningsteknik vänder rysklänkade hackare en inbyggd Windows-funktion mot sig själv. Gruppen identifierades först av Bitdefender i augusti 2025 för sin användning av COM-kapning, och gruppen har nu gått över till att missbruka inbyggda Hyper-V-plattformar av Microsoft. externa verktyg som kan utlösa säkerhetsvarningar, utnyttjar angriparna legitima systemkomponenter som redan finns på målmaskinen. Detta är ett klassiskt sätt att leva utanför landet.
Forensisk analys avslöjade en distributionsprocess i flera steg. Angripare kör först dism-kommandon för att aktivera Hyper-V-rollen.
Det är avgörande att de också inaktiverar microsoft-hyper-v-Management-clients-funktionen, vilket gör komponenterna svårare för administratörer att upptäcka.
Med Hyper-V aktiverat laddar en kedja av kommandon som involverar curl ned VM-arkivet. PowerShell-cmdlets som Import-VM och Start-VM startar sedan den. För att ytterligare undvika misstankar heter den virtuella datorn ett bedrägligt namn”WSL”, som efterliknar det legitima Windows-undersystemet för Linux.
An Isolated Arsenal: The Alpine Linux VM and Custom Malware
Med vapen av Hyper-V skapar hotaktörerna en blind fläck för många standardsäkerhetsverktyg.
Kärnan i denna strategi är en minimalistisk virtuell maskin baserad på Alpine Linux, en distribution känd för sin lilla storlek. Valet är medvetet; den dolda miljön har ett lättviktigt fotavtryck på endast 120 MB diskutrymme och 256 MB minne, vilket minimerar dess påverkan på värdsystemet.
Inuti denna isolerade miljö driver gruppen sin anpassade programsvit med skadlig programvara.”Angriparna aktiverade Hyper-V-rollen på utvalda offersystem för att distribuera en minimalistisk, alpin Linux-baserad virtuell maskin.”
Denna bas är värd för två viktiga C++-verktyg:’CurlyShell’, ett omvänt skal och’CurlCat’, en omvänd proxy.
CurlyShell-roten i VM uppnår uthållighet via ett enkelt jobb. CurlCat är konfigurerat som ett proxykommando i SSH-klienten, som lindar in all utgående SSH-trafik i standard-HTTP-förfrågningar för att smälta in. Båda implantaten använder ett icke-standardiserat Base64-alfabet för kodning för att undvika upptäckt.
För att göra upptäckten ännu svårare använder den virtuella datorn Hyper-V:s standardnätverksswitch med hjälp av värdadressers översättningsstack genom värdadressen. (NAT).
Som Bitdefender noterar,”I praktiken verkar all skadlig utgående kommunikation härröra från den legitima värddatorns IP-adress.”Sådana undanflyktstaktik blir allt vanligare.
Beyond the VM: Persistence and Lateral Movement with PowerShell
Medan Hyper-V VM tillhandahåller en smygande bas, använder Curly COMrades ytterligare verktyg för att upprätthålla uthållighet och förflytta sig ointressanta PowerShell i sidled.
används för att stärka deras fotfäste, vilket visar ett skiktat tillvägagångssätt för att bibehålla åtkomst.
Ett skript, distribuerat via gruppolicy, utformades för att skapa ett lokalt användarkonto på domänanslutna maskiner. Upprepade gånger återställer skriptet kontots lösenord, en smart mekanism för att säkerställa att angriparna behåller åtkomst även om en administratör upptäcker och ändrar autentiseringsuppgifterna.
Ett annat sofistikerat PowerShell-skript, en anpassad version av det offentliga TicketInjector-verktyget, användes för rörelse i sidled.
Det injicerar en biljett i Kerberaos. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Local Security Authority Subsystem Service (LSASS)-processen, som tillåter autentisering till andra fjärrsystem utan att de behöver klartextlösenord.
Denna”pass-the-ticket”-tekniken gör det möjligt för dem att köra, distribuera, distribuera eller exekvera skadlig data i miljön. Det mångfacetterade tillvägagångssättet belyser gruppens operativa mognad, ett kännetecken för statligt sponsrade hotaktörer.
