El actor de amenazas conocido como Camaradas rizados Se ha observado que explotan tecnologías de virtualización como una forma de eludir las soluciones de seguridad y ejecutar malware personalizado.
Según un nuevo referencia de Bitdefender, se dice que el adversario habilitó la función Hyper-V en sistemas víctimas seleccionados para implementar una máquina supuesto minimalista basada en Alpine Linux.
«Este entorno oculto, con su tamaño voluble (sólo 120 MB de espacio en disco y 256 MB de memoria), albergaba su shell inverso personalizado, CurlyShell, y un proxy inverso, CurlCat», dijo el investigador de seguridad Victor Vrabie, adjunto con Adrian Schipor y Martin Zugec, en un referencia técnico.
Curly COMrades fue documentado por primera vez por el proveedor rumano de ciberseguridad en agosto de 2025 en relación con una serie de ataques dirigidos a Georgia y Moldavia. Se considera que el especie de actividades está activo desde finales de 2023 y opera con intereses alineados con Rusia.
Se descubrió que estos ataques implementaban herramientas como CurlCat para la transferencia de datos bidireccional, RuRat para el golpe remoto persistente, Mimikatz para la convento de credenciales y un implante modular .NET denominado MucorAgent, cuyas primeras iteraciones se remontan a noviembre de 2023.
En un prospección de seguimiento realizado en colaboración con Georgia CERT, se identificaron herramientas adicionales asociadas con el actor de amenazas, adjunto con intentos de establecer golpe a espacioso plazo utilizando Hyper-V como armamento en hosts de Windows 10 comprometidos para configurar un entorno operante remoto oculto.
«Al aislar el malware y su entorno de ejecución adentro de una VM, los atacantes evadieron efectivamente muchas detecciones EDR tradicionales basadas en host», dijeron los investigadores. «El actor de amenazas demostró una clara determinación de permanecer una capacidad de proxy inverso, introduciendo repetidamente nuevas herramientas en el entorno».
Adicionalmente de utilizar métodos basados en Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel y SSH para proxy y tunelización, Curly COMrades ha empleado varias otras herramientas, incluido un script PowerShell diseñado para la ejecución remota de comandos y CurlyShell, un binario ELF previamente no documentado implementado en la máquina supuesto que proporciona un shell inverso persistente.
Escrito en C++, el malware se ejecuta como un demonio en segundo plano sin comienzo para conectarse a un servidor de comando y control (C2) e iniciar un shell inverso, lo que permite a los actores de amenazas ejecutar comandos cifrados. La comunicación se logra a través de solicitudes HTTP GET para sondear el servidor en averiguación de nuevos comandos y mediante solicitudes HTTP POST para transmitir los resultados de la ejecución del comando al servidor.
«Dos familias de malware personalizado, CurlyShell y CurlCat, estaban en el centro de esta actividad, compartiendo una colchoneta de código en gran medida idéntica pero divergiendo en la forma en que manejaban los datos recibidos: CurlyShell ejecutaba comandos directamente, mientras que CurlCat canalizaba el tráfico a través de SSH», dijo Bitdefender. «Estas herramientas se implementaron y operaron para respaldar un control flexible y adaptabilidad».
