Dans une exploitation sophistiquée des technologies de virtualisation, le groupe de cybercriminels Curly COMrades a perfectionné sa capacité à contourner les systèmes de sécurité en utilisant des environnements Windows Hyper-V comme armes. Cette tactique leur permet de dissimuler des opérations malveillantes au sein d'une machine virtuelle (VM), neutralisant ainsi les mesures de sécurité traditionnelles. Plus précisément, ce groupe active le rôle Hyper-V sur les systèmes cibles sélectionnés afin de déployer une VM légère, basée sur Alpine Linux, qui occupe un minimum de ressources (120 Mo d'espace disque et 256 Mo de mémoire). Cette VM héberge leur logiciel malveillant personnalisé, notamment un shell inversé appelé CurlyShell et un proxy inverse nommé CurlCat.

La découverte initiale du groupe Curly COMrades remonte à août 2025, lorsque des recherches en cybersécurité ont établi un lien entre ce groupe et des attaques visant la Géorgie et la Moldavie. Ces activités se poursuivraient depuis fin 2023 et seraient liées à des intérêts russes. Le groupe est connu pour utiliser des outils sophistiqués tels que CurlCat pour les transferts de données, RuRat pour le contrôle à distance persistant, Mimikatz pour le vol d'identifiants et un implant modulaire appelé MucorAgent, développé en .NET et dont les origines remontent à novembre 2023.

Une analyse plus poussée, menée en partenariat avec le Georgia CERT, a permis d'identifier d'autres outils utilisés par le groupe et a mis en lumière leurs efforts pour établir un accès durable en exploitant Hyper-V afin de créer des environnements opérationnels à distance clandestins sur des hôtes Windows 10 compromis.

En opérant au sein d'une machine virtuelle, les membres de Curly COMrades neutralisent efficacement de nombreux systèmes EDR (Endpoint Detection and Response) hébergés, généralement utilisés pour identifier et contrer les activités non autorisées. Cette méthode témoigne de leur persévérance à maintenir leurs capacités de proxy, grâce à l'intégration continue de nouveaux outils dans leur environnement opérationnel. Outre l'utilisation de Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel et diverses méthodes de tunnelage SSH, le groupe emploie plusieurs outils, notamment des scripts PowerShell pour l'exécution de commandes à distance, démontrant ainsi son expertise technique.

Le logiciel malveillant à l'origine de ces attaques est écrit en C++ et fonctionne comme un démon sans interface graphique. Il se connecte à un serveur de commande et de contrôle, exécutant un shell inversé, ce qui permet aux attaquants d'envoyer des commandes de manière sécurisée et discrète. Il utilise des requêtes HTTP GET pour récupérer de nouvelles commandes auprès du serveur et des requêtes HTTP POST pour lui renvoyer les résultats de leur exécution. CurlyShell et CurlCat, les deux principales familles de logiciels malveillants utilisées dans ces opérations, partagent une base de code similaire mais diffèrent dans leur approche de gestion des données : CurlyShell exécute les commandes directement, tandis que CurlCat facilite le transfert de données via SSH.

Cette menace persistante souligne la stratégie d'adaptation des cybercriminels qui exploitent les capacités de virtualisation multiplateformes pour contourner les infrastructures de sécurité actuelles. Leur maîtrise de la virtualisation met en lumière les vulnérabilités des technologies existantes et appelle à des mesures de sécurité renforcées pour les environnements virtualisés, ainsi qu'à des méthodes de détection plus robustes des menaces exploitant les machines virtuelles.