El actor de amenazas conocido como Camaradas rizados Se ha observado que explotan tecnologías de virtualización como una forma de eludir las soluciones de seguridad y ejecutar malware personalizado.
Según un nuevo noticia de Bitdefender, se dice que el adversario habilitó la función Hyper-V en sistemas víctimas seleccionados para implementar una máquina imaginario minimalista basada en Alpine Linux.
“Este entorno oculto, con su tamaño leve (sólo 120 MB de espacio en disco y 256 MB de memoria), albergaba su shell inverso personalizado, CurlyShell, y un proxy inverso, CurlCat”, dijo el investigador de seguridad Victor Vrabie, adyacente con Adrian Schipor y Martin Zugec, en un noticia técnico.
Curly COMrades fue documentado por primera vez por el proveedor rumano de ciberseguridad en agosto de 2025 en relación con una serie de ataques dirigidos a Georgia y Moldavia. Se considera que el reunión de actividades está activo desde finales de 2023 y opera con intereses alineados con Rusia.
Se descubrió que estos ataques implementaban herramientas como CurlCat para la transferencia de datos bidireccional, RuRat para el paso remoto persistente, Mimikatz para la convento de credenciales y un implante modular .NET denominado MucorAgent, cuyas primeras iteraciones se remontan a noviembre de 2023.
En un observación de seguimiento realizado en colaboración con Georgia CERT, se identificaron herramientas adicionales asociadas con el actor de amenazas, adyacente con intentos de establecer paso a grande plazo utilizando Hyper-V como armamento en hosts de Windows 10 comprometidos para configurar un entorno activo remoto oculto.
“Al aislar el malware y su entorno de ejecución adentro de una VM, los atacantes evadieron efectivamente muchas detecciones EDR tradicionales basadas en host”, dijeron los investigadores. “El actor de amenazas demostró una clara determinación de prolongar una capacidad de proxy inverso, introduciendo repetidamente nuevas herramientas en el entorno”.
Adicionalmente de utilizar métodos basados en Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel y SSH para proxy y tunelización, Curly COMrades ha empleado varias otras herramientas, incluido un script PowerShell diseñado para la ejecución remota de comandos y CurlyShell, un binario ELF previamente no documentado implementado en la máquina imaginario que proporciona un shell inverso persistente.
Escrito en C++, el malware se ejecuta como un demonio en segundo plano sin habitante para conectarse a un servidor de comando y control (C2) e iniciar un shell inverso, lo que permite a los actores de amenazas ejecutar comandos cifrados. La comunicación se logra a través de solicitudes HTTP GET para sondear el servidor en indagación de nuevos comandos y mediante solicitudes HTTP POST para transmitir los resultados de la ejecución del comando al servidor.
“Dos familias de malware personalizado, CurlyShell y CurlCat, estaban en el centro de esta actividad, compartiendo una saco de código en gran medida idéntica pero divergiendo en la forma en que manejaban los datos recibidos: CurlyShell ejecutaba comandos directamente, mientras que CurlCat canalizaba el tráfico a través de SSH”, dijo Bitdefender. “Estas herramientas se implementaron y operaron para asegurar un control flexible y adaptabilidad”.
