Curly COMrades нашли способ скрыватся от систем обнаружения через возможности виртуализации на Windows

Как выяснила команда Bitdefender, атакующие вручную активируют роль Hyper-V на скомпрометированных устройствах и разворачивают лёгкую виртуальную машину на базе Alpine Linux, чтобы выполнять вредоносный код в изолированной среде.

Созданная таким образом виртуальная машина занимает всего 120 мегабайт на диске и использует лишь 256 мегабайт оперативной памяти. Внутри неё разворачивается обратная оболочка CurlyShell и прокси-инструмент CurlCat, позволяющие атакующим подключаться к системе и выполнять команды без прямого взаимодействия с основной операционной системой жертвы. Такой подход затрудняет работу традиционных средств обнаружения, ориентированных на процессы внутри Windows.

Curly COMrades действует с конца 2023 года, и ранее была связана с кибератаками на инфраструктуру Грузии и Молдавии, поясняет Securitylab. В августе 2025 года Bitdefender впервые опубликовала исследование, в котором описывались методы и инструменты этой группировки. Тогда речь шла о применении CurlCat для двунаправленной передачи данных, RuRat для удалённого доступа, Mimikatz для кражи учётных данных и о модульном .NET-импланте MucorAgent.

Новое расследование, проведённое совместно с грузинским CERT, позволило выявить обновлённый инструментарий атакующих. На заражённых системах с Windows 10 фиксируются попытки создания изолированных виртуальных сред, внутри которых продолжается вредоносная активность. Такой подход позволяет сохранять доступ к целям даже при обновлении или удалении базовых компонентов системы.

В числе применяемых средств — PowerShell-скрипт для удалённого выполнения команд, а также неизвестный ранее исполняемый файл под Linux под названием CurlyShell. Это компактное C++-приложение работает как фоновый демон и устанавливает зашифрованное соединение с управляющим сервером, получая команды через HTTP GET и отправляя результаты через POST-запросы.

CurlyShell и CurlCat, по данным Bitdefender, имеют общую кодовую базу, но различаются в способе обработки полученной информации. Первая программа выполняет команды напрямую, вторая же направляет трафик через SSH, обеспечивая гибкость и устойчивость каналов связи. Дополнительно злоумышленники используют прокси и туннелирование через Resocks, Ligolo-ng, CCProxy, Stunnel и другие инструменты, стремясь максимально скрыть свои действия.