Ang isang pangkat na naka-link sa Russian, ang mga kulot na kasama, ay ang pag-armas ng Hyper-V ng Microsoft upang itago ang malware sa mga nakompromiso na mga sistema ng Windows, na nagmamarka ng isang makabuluhang ebolusyon sa mga pamamaraan ng stealth.
Ayon sa isang Nobyembre 4 Ulat mula sa cybersecurity firm bitdefender , ang grupo ay nag-install ng isang maliit na alpine linux machine upang lumikha ng isang lihim na base ng pagpapatakbo. Mga umaatake upang i-bypass ang endpoint detection at tugon (EDR) software. Mga Kampanya sa Cyber-Espionage. Ang suporta para sa pagsisiyasat ay nagmula sa pambansang sertipikasyon ng Georgia, na binibigyang diin ang sopistikado at pandaigdigang kalikasan ng banta. Una na nakilala ng Bitdefender noong Agosto 2025 para sa paggamit nito ng com hijacking , ang grupo ay lumipat na ngayon sa pag-abuso sa hyper-v, microsoft’s build-in-in-in-in-in-in-in-in-in vup-in-virtual Platform. Ito ay isang klasikong diskarte na”living-off-the-land”.
forensic analysis ay nagsiwalat ng isang proseso ng paglawak ng multi-stage. Una nang isinasagawa ng mga umaatake ang mga utos ng DIM upang paganahin ang papel na hyper-v. Ang mga cmdlet ng PowerShell tulad ng import-VM at Start-VM pagkatapos ay ilunsad ito. Upang higit na maiwasan ang hinala, ang VM ay mapanlinlang na pinangalanan na”WSL,”gayahin ang lehitimong subsystem ng Windows para sa Linux.
Ang pagpili ay sinasadya; Ang nakatagong kapaligiran ay may magaan na bakas ng paa lamang ng 120MB disk space at 256MB ng memorya, na binabawasan ang epekto nito sa host system.”Pinapagana ng mga umaatake ang papel na Hyper-V sa mga napiling mga sistema ng biktima upang mag-deploy ng isang minimalistic, alpine na nakabase sa Virtual machine na nakabase sa Linux.”Ang curlcat ay na-configure bilang isang proxycommand sa kliyente ng SSH, na binabalot ang lahat ng papalabas na trapiko ng SSH sa karaniwang mga kahilingan ng HTTP na timpla.
Tulad ng tala ng Bitdefender,”Sa bisa, ang lahat ng nakakahamak na komunikasyon na outbound ay lilitaw na nagmula sa IP address ng lehitimong host machine.”Ang nasabing mga taktika sa pag-iwas ay nagiging karaniwan. Nagpapakita ng isang layered na diskarte sa pagpapanatili ng pag-access. Paulit-ulit, ang script ay nai-reset ang password ng account, isang matalinong mekanismo upang matiyak na ang mga umaatake ay nagpapanatili ng pag-access kahit na ang isang administrator ay nadiskubre at binabago ang mga kredensyal. href=”https://en.wikipedia.org/wiki/local_security_authority_subsystem_service”target=”_ blangko”> lokal na awtoridad ng seguridad subsystem (lsass) Magsagawa ng mga utos, mag-exfiltrate data, o mag-deploy ng karagdagang malware sa buong kapaligiran. Ang diskarte ng multi-faceted ay nagtatampok sa pagpapatakbo ng grupo ng grupo, isang tanda ng mga aktor na may banta na na-sponsor ng estado.
