Piratas informáticos pro-rusos conocidos como Curly COMrades están explotando la tecnología Hyper-V de Microsoft para incrustar máquinas virtuales ligeras de Alpine Linux en sistemas Windows comprometidos. Esta táctica les permite ejecutar malware personalizado como CurlyShell y CurlCat sin ser detectados por herramientas tradicionales de detección de endpoints. La campaña, descubierta por Bitdefender en colaboración con el CERT georgiano, tiene como objetivo a organizaciones en Europa y más allá.
El ataque comienza con el compromiso inicial de máquinas Windows, a menudo a través de vulnerabilidades o ingeniería social. Los atacantes luego activan Hyper-V —una función de virtualización integrada en Windows 10— utilizando las Herramientas de Servicios de Imagen y Gestión de Despliegue (DISM) mientras desactivan las interfaces de gestión para evitar la detección. Observado desde julio de 2024, despliegan un pequeño archivo RAR disfrazado como un video, que contiene archivos de configuración y un disco virtual para un entorno de Alpine Linux preconfigurado. Esta VM, nombrada 'WSL' para imitar el legítimo Subsistema de Windows para Linux, requiere solo 120 MB de espacio en disco y 256 MB de RAM, lo que la hace eficiente en recursos y sigilosa.
Dentro de la VM, los piratas ejecutan CurlyShell, un shell inverso personalizado construido con la biblioteca libcurl para la ejecución de comandos a través de conexiones HTTPS a servidores de comando y control, y CurlCat, un proxy inverso para el túnel de tráfico. La VM utiliza adaptadores de red predeterminados y el servicio NAT interno de Hyper-V, enrutando comunicaciones maliciosas a través de la dirección IP del host Windows para ocultar orígenes y eludir soluciones de detección y respuesta de endpoints (EDR). La persistencia adicional se logra con herramientas como Ligolo-ng, CCProxy, Stunnel, SSH, Resocks y Rsockstun, junto con scripts de PowerShell que inyectan tickets Kerberos en el proceso LSASS y crean cuentas locales a través de Group Policy.
El investigador senior de seguridad de Bitdefender, Victor Vrabie, explicó: 'Al aislar el malware y su entorno de ejecución dentro de una VM, los atacantes crean efectivamente un mundo paralelo que es invisible para la mayoría de las soluciones de seguridad en el host.' El grupo, alineado con intereses geopolíticos rusos y vinculado a alias como Void Blizzard o LAUNDRY BEAR, ha dirigido ataques a instituciones en Georgia, Moldavia, Europa, Norteamérica y posiblemente Ucrania, enfocándose en sectores gubernamentales, de defensa y de salud. Este método representa una tendencia creciente de usar malware de Linux contra Windows para evadir EDR sofisticados, similar a las tácticas en ataques de ransomware Qilin. Los expertos recomiendan monitorear activaciones inesperadas de Hyper-V, implementar análisis de comportamiento en entornos virtuales y mejorar inspecciones basadas en red para contrarrestar tales amenazas.
