Hackers exploram o Hyper-V do Windows para ocultar máquina virtual Linux e escapar de detecção por EDR

Um grupo hacker conhecido como Curly COMrades tem utilizado tecnologias de virtualização do Windows para ocultar atividades maliciosas e evitar a detecção por soluções de segurança corporativas. De acordo com um novo relatório da Bitdefender, os invasores habilitaram o recurso Hyper-V em sistemas comprometidos para executar uma máquina virtual leve baseada em Alpine Linux, usada como ambiente oculto para hospedar ferramentas próprias de ataque.

A máquina virtual, com apenas 120 MB de espaço em disco e 256 MB de memória, foi projetada para operar de forma discreta e carregar dois componentes principais: o CurlyShell, uma shell reversa personalizada, e o CurlCat, um proxy reverso para controle remoto. Segundo os pesquisadores Victor Vrabie, Adrian Schipor e Martin Zugec, essa arquitetura permitiu que o grupo driblasse mecanismos tradicionais de detecção baseados em endpoint (EDR), mantendo controle persistente sobre os sistemas afetados.

O grupo Curly COMrades foi identificado pela primeira vez em agosto de 2025, em uma série de ataques direcionados à Geórgia e à Moldávia, países historicamente visados por grupos hackers alinhados à Rússia. Evidências indicam que o grupo opera desde final de 2023, utilizando uma variedade de ferramentas como CurlCat (para transferência de dados), RuRat (para acesso remoto), Mimikatz (para roubo de credenciais) e um implant modular em .NET chamado MucorAgent, ativo desde novembro de 2023.

Uma análise posterior, realizada em parceria com o CERT da Geórgia, revelou novas ferramentas associadas ao grupo e um esforço contínuo para estabelecer acesso prolongado aos sistemas comprometidos. O uso do Hyper-V como vetor de persistência permitiu a criação de um ambiente operacional remoto oculto, de difícil identificação por ferramentas tradicionais de monitoramento.

Além da infraestrutura principal, os hackers também empregaram métodos de proxy e tunelamento — como Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel e conexões baseadas em SSH —, além de scripts PowerShell para execução remota de comandos.

O CurlyShell, um binário ELF inédito até então, foi desenvolvido em C++ e executado como um daemon em segundo plano, comunicando-se com servidores de comando e controle (C2) via requisições HTTP GET e POST criptografadas, permitindo controle total e evasão de monitoramento.

Segundo a Bitdefender, as famílias de malware CurlyShell e CurlCat compartilham a mesma base de código, mas se diferenciam na forma como manipulam os dados interceptados: enquanto o CurlyShell executa comandos diretamente, o CurlCat encaminha o tráfego por meio de conexões SSH, oferecendo maior flexibilidade e resiliência ao ataque.

Via - THN