Peretas pro-Rusia yang dikenal sebagai Curly COMrades mengeksploitasi teknologi Hyper-V Microsoft untuk menanamkan mesin virtual Alpine Linux ringan di dalam sistem Windows yang dikompromikan. Taktik ini memungkinkan mereka menjalankan malware kustom seperti CurlyShell dan CurlCat tanpa terdeteksi oleh alat deteksi endpoint tradisional. Kampanye ini, yang diungkap oleh Bitdefender bekerja sama dengan CERT Georgia, menargetkan organisasi di Eropa dan seterusnya.
Serangan dimulai dengan kompromi awal pada mesin Windows, sering melalui kerentanan atau rekayasa sosial. Penyerang kemudian mengaktifkan Hyper-V—fitur virtualisasi bawaan di Windows 10—menggunakan Alat Layanan Penggambaran dan Manajemen Deployment (DISM) sambil menonaktifkan antarmuka manajemen untuk menghindari deteksi. Diamati sejak Juli 2024, mereka menyebarkan arsip RAR kecil yang disamarkan sebagai file video, yang berisi file konfigurasi dan disk virtual untuk lingkungan Alpine Linux yang telah dikonfigurasi sebelumnya. VM ini, dinamai 'WSL' untuk meniru Windows Subsystem for Linux yang sah, hanya membutuhkan 120 MB ruang disk dan 256 MB RAM, menjadikannya efisien sumber daya dan sembunyi-sembunyi.
Di dalam VM, peretas menjalankan CurlyShell, shell balik kustom yang dibangun dengan pustaka libcurl untuk eksekusi perintah melalui koneksi HTTPS ke server command-and-control, dan CurlCat, proxy balik untuk terowongan lalu lintas. VM menggunakan adaptor jaringan default dan layanan NAT internal Hyper-V, merutekan komunikasi berbahaya melalui alamat IP host Windows untuk menyembunyikan asal dan melewati solusi deteksi dan respons endpoint (EDR). Ketekalan tambahan dicapai dengan alat seperti Ligolo-ng, CCProxy, Stunnel, SSH, Resocks, dan Rsockstun, bersama dengan skrip PowerShell yang menyuntikkan tiket Kerberos ke proses LSASS dan membuat akun lokal melalui Group Policy.
Peneliti keamanan senior Bitdefender Victor Vrabie menjelaskan: 'Dengan mengisolasi malware dan lingkungan eksekusinya di dalam VM, penyerang secara efektif menciptakan dunia paralel yang tidak terlihat oleh sebagian besar solusi keamanan di host.' Kelompok ini, selaras dengan kepentingan geopolitik Rusia dan terkait dengan alias seperti Void Blizzard atau LAUNDRY BEAR, telah menargetkan institusi di Georgia, Moldova, Eropa, Amerika Utara, dan mungkin Ukraina, dengan fokus pada sektor pemerintah, pertahanan, dan kesehatan. Metode ini mewakili tren yang berkembang dalam menggunakan malware Linux terhadap Windows untuk menghindari EDR canggih, mirip dengan taktik dalam serangan ransomware Qilin. Para ahli merekomendasikan pemantauan aktivasi Hyper-V yang tidak terduga, menerapkan analisis perilaku di lingkungan virtual, dan meningkatkan inspeksi berbasis jaringan untuk melawan ancaman semacam itu.
