Pesquisadores da Bitdefender identificaram que o grupo Curly COMrades vem habilitando o recurso Hyper-V em computadores comprometidos para instalar uma máquina virtual (VM) baseada em Alpine Linux, com apenas 120 MB de espaço em disco e 256 MB de memória, a fim de executar códigos maliciosos fora do alcance de soluções de detecção e resposta em endpoints (EDR).
Dentro desse ambiente discreto são carregados dois artefatos desenvolvidos pelo grupo: o CurlyShell, um shell reverso persistente, e o CurlCat, empregado como proxy reverso. A técnica foi descrita em relatório assinado pelos pesquisadores Victor Vrabie, Adrian Schipor e Martin Zugec.
Campanha em andamento desde 2023
O Curly COMrades foi detalhado pela primeira vez pela Bitdefender em agosto de 2025, em ataques direcionados a organizações da Geórgia e da Moldávia. A atividade, segundo a empresa, ocorre desde o final de 2023 e estaria alinhada a interesses russos.
Entre as ferramentas já observadas no arsenal do grupo estão:
- CurlCat – transferência bidirecional de dados;
- RuRat – acesso remoto persistente;
- Mimikatz – extração de credenciais;
- MucorAgent – implante modular em .NET, identificado pela primeira vez em novembro de 2023.
Em análise complementar realizada com o Georgia CERT, foram descobertas novas tentativas de manter acesso prolongado aos sistemas vítimas por meio da virtualização no Windows 10, criando um ambiente remoto oculto.
Isolamento para escapar de EDR
Ao executar o malware dentro da VM, os invasores conseguem contornar grande parte das defesas instaladas no host principal. “O ator mostrou determinação em preservar a capacidade de proxy reverso, introduzindo repetidamente novas ferramentas”, afirma o relatório.
Além da dupla CurlyShell/CurlCat, o grupo utiliza outros métodos de tunelamento, como Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel e conexões baseadas em SSH, além de scripts PowerShell para executar comandos remotamente.
Imagem: Internet
Funcionamento dos malwares principais
Escrito em C++, o CurlyShell roda como daemon em segundo plano e estabelece contato com um servidor de comando e controle (C2). O tráfego usa requisições HTTP GET para buscar instruções e HTTP POST para enviar resultados, tudo com comandos criptografados.
Embora compartilhem grande parte do mesmo código, CurlyShell executa as ordens recebidas diretamente, enquanto CurlCat redireciona o tráfego por meio de SSH, garantindo maior flexibilidade ao operador.
Não há informações sobre o número total de sistemas afetados, mas a Bitdefender alerta que a estratégia de usar Hyper-V e uma VM minimalista representa desafio extra para administradores, exigindo revisão de políticas de virtualização e monitoramento de novos serviços habilitados inesperadamente.
Com informações de The Hacker News
