Des pirates informatiques pro-russes connus sous le nom de Curly COMrades exploitent la technologie Hyper-V de Microsoft pour intégrer des machines virtuelles légères Alpine Linux dans des systèmes Windows compromis. Cette tactique leur permet d'exécuter des malwares personnalisés comme CurlyShell et CurlCat sans être détectés par les outils traditionnels de détection des points d'extrémité. La campagne, découverte par Bitdefender en collaboration avec le CERT géorgien, cible des organisations en Europe et au-delà.
L'attaque commence par le compromis initial de machines Windows, souvent via des vulnérabilités ou de l'ingénierie sociale. Les attaquants activent ensuite Hyper-V — une fonctionnalité de virtualisation intégrée à Windows 10 — en utilisant les Outils de gestion et de maintenance des images de déploiement (DISM) tout en désactivant les interfaces de gestion pour éviter la détection. Observée dès juillet 2024, ils déploient une petite archive RAR déguisée en fichier vidéo, qui contient des fichiers de configuration et un disque virtuel pour un environnement Alpine Linux préconfiguré. Cette VM, nommée 'WSL' pour imiter le légitime Windows Subsystem for Linux, ne nécessite que 120 Mo d'espace disque et 256 Mo de RAM, la rendant efficace en ressources et discrète.
À l'intérieur de la VM, les pirates exécutent CurlyShell, un shell inversé personnalisé construit avec la bibliothèque libcurl pour l'exécution de commandes via des connexions HTTPS vers des serveurs de commande et de contrôle, et CurlCat, un proxy inversé pour le tunneling de trafic. La VM utilise des adaptateurs réseau par défaut et le service NAT interne de Hyper-V, acheminant les communications malveillantes via l'adresse IP de l'hôte Windows pour masquer les origines et contourner les solutions de détection et de réponse aux points d'extrémité (EDR). Une persistance supplémentaire est obtenue avec des outils comme Ligolo-ng, CCProxy, Stunnel, SSH, Resocks et Rsockstun, ainsi que des scripts PowerShell qui injectent des tickets Kerberos dans le processus LSASS et créent des comptes locaux via Group Policy.
Le chercheur principal en sécurité de Bitdefender, Victor Vrabie, a expliqué : 'En isolant le malware et son environnement d'exécution dans une VM, les attaquants créent efficacement un monde parallèle invisible à la plupart des solutions de sécurité sur l'hôte.' Le groupe, aligné sur les intérêts géopolitiques russes et lié à des alias comme Void Blizzard ou LAUNDRY BEAR, a ciblé des institutions en Géorgie, en Moldavie, en Europe, en Amérique du Nord et possiblement en Ukraine, en se concentrant sur les secteurs gouvernemental, de la défense et de la santé. Cette méthode représente une tendance croissante à utiliser des malwares Linux contre Windows pour échapper aux EDR sophistiqués, similaire aux tactiques dans les attaques de ransomware Qilin. Les experts recommandent de surveiller les activations inattendues de Hyper-V, d'implémenter une analyse comportementale dans les environnements virtuels et d'améliorer les inspections basées sur le réseau pour contrer de telles menaces.
