Hackers pró-russos conhecidos como Curly COMrades estão explorando a tecnologia Hyper-V da Microsoft para incorporar máquinas virtuais leves do Alpine Linux em sistemas Windows comprometidos. Essa tática permite que eles executem malware personalizado como CurlyShell e CurlCat sem detecção por ferramentas tradicionais de detecção de endpoints. A campanha, descoberta pela Bitdefender em colaboração com o CERT georgiano, visa organizações na Europa e além.
O ataque começa com o compromisso inicial de máquinas Windows, frequentemente por meio de vulnerabilidades ou engenharia social. Os atacantes então ativam o Hyper-V — um recurso de virtualização integrado no Windows 10 — usando as Ferramentas de Serviços de Imagem de Implantação e Gerenciamento (DISM), enquanto desabilitam interfaces de gerenciamento para evitar detecção. Observado desde julho de 2024, eles implantam um pequeno arquivo RAR disfarçado como um vídeo, que contém arquivos de configuração e um disco virtual para um ambiente Alpine Linux pré-configurado. Essa VM, nomeada 'WSL' para imitar o legítimo Subsistema Windows para Linux, requer apenas 120 MB de espaço em disco e 256 MB de RAM, tornando-a eficiente em recursos e furtiva.
Dentro da VM, os hackers executam o CurlyShell, um shell reverso personalizado construído com a biblioteca libcurl para execução de comandos via conexões HTTPS para servidores de comando e controle, e o CurlCat, um proxy reverso para tunelamento de tráfego. A VM usa adaptadores de rede padrão e o serviço NAT interno do Hyper-V, roteando comunicações maliciosas através do endereço IP do host Windows para mascarar origens e contornar soluções de detecção e resposta de endpoints (EDR). Persistência adicional é alcançada com ferramentas como Ligolo-ng, CCProxy, Stunnel, SSH, Resocks e Rsockstun, ao lado de scripts PowerShell que injetam tickets Kerberos no processo LSASS e criam contas locais via Group Policy.
O pesquisador sênior de segurança da Bitdefender, Victor Vrabie, explicou: 'Ao isolar o malware e seu ambiente de execução dentro de uma VM, os atacantes criam efetivamente um mundo paralelo que é invisível para a maioria das soluções de segurança no host.' O grupo, alinhado com interesses geopolíticos russos e ligado a aliases como Void Blizzard ou LAUNDRY BEAR, tem como alvo instituições na Geórgia, Moldávia, Europa, América do Norte e possivelmente Ucrânia, focando em setores governamentais, de defesa e de saúde. Esse método representa uma tendência crescente de usar malware Linux contra Windows para evadir EDR sofisticados, semelhante às táticas em ataques de ransomware Qilin. Especialistas recomendam monitorar ativações inesperadas do Hyper-V, implementar análise comportamental em ambientes virtuais e aprimorar inspeções baseadas em rede para combater tais ameaças.
