Uma investigação conjunta do Bitdefender Labs e do CERT da Geórgia (CERT.OTA.GOV.GE) revelou uma nova e sofisticada campanha do grupo de ameaças Curly COMrades, que opera em apoio aos interesses geopolíticos da Rússia.
As últimas descobertas descrevo como os aventureiros aproveitaram a virtualização Hyper-V da Microsoft para criar ambientes secretos e totalmente isolados que permitem acesso remoto furtivo e execução de comandos em hosts Windows 10 comprometidos.
Em vez de implantar malware tradicional diretamente no host, os aventureiros habilitaram o recurso Hyper-V remotamente e importaram uma máquina virtual Alpine Linux leve, especialmente criada para furtividade e persistência.
Essa máquina virtual, ocupando apenas 120 MB de espaço em disco e 256 MB de memória, serviu como uma base operacional invisível. Dentro dela, foram descobertos dois implantes personalizados chamados CurlyShell e CurlCat, ambos escritos em C++ e construídos usando a biblioteca libcurl.
O CurlyShell estabeleceu um shell reverso persistente baseado em HTTPS, enquanto o CurlCat gerenciava o túnel SSH, permitindo que os atacantes se movessem dentro das redes das vítimas sem serem detectados.
Ao isolar essas ferramentas dentro da máquina virtual, o Camaradas encaracolados contornou os sistemas de detecção e resposta de endpoints (EDR), que normalmente monitoram processos do host em vez de ambientes virtualizados.
CurlyShell e CurlCat: Malware personalizado em uma gaiola virtual
Os binários descompilados mostram bases de código quase idênticas para ambos os implantes. O CurlyShell executava comandos do atacante usando um esquema de modificação Base64 não padrão, enquanto o CurlCat retransmitia dados SSH via HTTP para se misturar ao web de tráfego legítimo.
Seu design minimalista impede os rastros forenses, demonstrando uma disciplina operacional aprimorada. O adaptador de rede da máquina virtual, configurado como o Switch Padrão no Hyper-V, rotulou o tráfego malicioso através da pilha de rede do host usando NAT interno.
Isso garantiu que todas as comunicações do C2 parecessem originar-se do IP legítimo da máquina infectada. Evidências nas entradas DNS personalizadas da VM e nos arquivos de mapeamento de domínio confirmaram a personalização específica de domínio para cada ambiente alvo.
Scripts adicionais do PowerShell ampliaram o conjunto de ferramentas do agente de ameaças, incluindo um que abusava de tickets Kerberos para autenticação remota e outros distribuídos via Política de Grupo para manter a persistência por meio da criação de contas locais e redefinições de senha.
Táticas Avançadas de Evasão e Colaboração Industrial
A descoberta da operação teve origem na detecção, por analistas do CERT da Geórgia, de tráfego CurlCat vinculado a um site doméstico comprometido que atuava como um servidor de comando e controle (C2).
Uma análise forense revelou conjuntamente configurações do NGINX e do iptables que redirecionavam as conexões das vítimas para servidores externos, confirmando a infraestrutura do grupo e sua forte segurança operacional. A Bitdefender enfatizou que esta campanha sinaliza uma tendência crescente: agentes de ameaças abusando cada vez mais de estruturas de virtualização legítimas para roubar a detecção de EDR e XDR.
