Dans une exploitation sophistiqu\u00e9e des technologies de virtualisation, le groupe de cybercriminels Curly COMrades a perfectionn\u00e9 sa capacit\u00e9 \u00e0 contourner les syst\u00e8mes de s\u00e9curit\u00e9 en utilisant des environnements Windows Hyper-V comme armes. Cette tactique leur permet de dissimuler des op\u00e9rations malveillantes au sein d'une machine virtuelle (VM), neutralisant ainsi les mesures de s\u00e9curit\u00e9 traditionnelles. Plus pr\u00e9cis\u00e9ment, ce groupe active le r\u00f4le Hyper-V sur les syst\u00e8mes cibles s\u00e9lectionn\u00e9s afin de d\u00e9ployer une VM l\u00e9g\u00e8re, bas\u00e9e sur Alpine Linux, qui occupe un minimum de ressources (120 Mo d'espace disque et 256 Mo de m\u00e9moire). Cette VM h\u00e9berge leur logiciel malveillant personnalis\u00e9, notamment un shell invers\u00e9 appel\u00e9 CurlyShell et un proxy inverse nomm\u00e9 CurlCat.<\/p>\n
La d\u00e9couverte initiale du groupe Curly COMrades remonte \u00e0 ao\u00fbt 2025, lorsque des recherches en cybers\u00e9curit\u00e9 ont \u00e9tabli un lien entre ce groupe et des attaques visant la G\u00e9orgie et la Moldavie. Ces activit\u00e9s se poursuivraient depuis fin 2023 et seraient li\u00e9es \u00e0 des int\u00e9r\u00eats russes. Le groupe est connu pour utiliser des outils sophistiqu\u00e9s tels que CurlCat pour les transferts de donn\u00e9es, RuRat pour le contr\u00f4le \u00e0 distance persistant, Mimikatz pour le vol d'identifiants et un implant modulaire appel\u00e9 MucorAgent, d\u00e9velopp\u00e9 en .NET et dont les origines remontent \u00e0 novembre 2023.<\/p>\n
Une analyse plus pouss\u00e9e, men\u00e9e en partenariat avec le Georgia CERT, a permis d'identifier d'autres outils utilis\u00e9s par le groupe et a mis en lumi\u00e8re leurs efforts pour \u00e9tablir un acc\u00e8s durable en exploitant Hyper-V afin de cr\u00e9er des environnements op\u00e9rationnels \u00e0 distance clandestins sur des h\u00f4tes Windows 10 compromis.<\/p>\n
En op\u00e9rant au sein d'une machine virtuelle, les membres de Curly COMrades neutralisent efficacement de nombreux syst\u00e8mes EDR (Endpoint Detection and Response) h\u00e9berg\u00e9s, g\u00e9n\u00e9ralement utilis\u00e9s pour identifier et contrer les activit\u00e9s non autoris\u00e9es. Cette m\u00e9thode t\u00e9moigne de leur pers\u00e9v\u00e9rance \u00e0 maintenir leurs capacit\u00e9s de proxy, gr\u00e2ce \u00e0 l'int\u00e9gration continue de nouveaux outils dans leur environnement op\u00e9rationnel. Outre l'utilisation de Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel et diverses m\u00e9thodes de tunnelage SSH, le groupe emploie plusieurs outils, notamment des scripts PowerShell pour l'ex\u00e9cution de commandes \u00e0 distance, d\u00e9montrant ainsi son expertise technique.<\/p>\n
Le logiciel malveillant \u00e0 l'origine de ces attaques est \u00e9crit en C++ et fonctionne comme un d\u00e9mon sans interface graphique. Il se connecte \u00e0 un serveur de commande et de contr\u00f4le, ex\u00e9cutant un shell invers\u00e9, ce qui permet aux attaquants d'envoyer des commandes de mani\u00e8re s\u00e9curis\u00e9e et discr\u00e8te. Il utilise des requ\u00eates HTTP GET pour r\u00e9cup\u00e9rer de nouvelles commandes aupr\u00e8s du serveur et des requ\u00eates HTTP POST pour lui renvoyer les r\u00e9sultats de leur ex\u00e9cution. CurlyShell et CurlCat, les deux principales familles de logiciels malveillants utilis\u00e9es dans ces op\u00e9rations, partagent une base de code similaire mais diff\u00e8rent dans leur approche de gestion des donn\u00e9es\u00a0: CurlyShell ex\u00e9cute les commandes directement, tandis que CurlCat facilite le transfert de donn\u00e9es via SSH.<\/p>\n
Cette menace persistante souligne la strat\u00e9gie d'adaptation des cybercriminels qui exploitent les capacit\u00e9s de virtualisation multiplateformes pour contourner les infrastructures de s\u00e9curit\u00e9 actuelles. Leur ma\u00eetrise de la virtualisation met en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des technologies existantes et appelle \u00e0 des mesures de s\u00e9curit\u00e9 renforc\u00e9es pour les environnements virtualis\u00e9s, ainsi qu'\u00e0 des m\u00e9thodes de d\u00e9tection plus robustes des menaces exploitant les machines virtuelles.<\/p>","protected":false},"excerpt":{"rendered":"
Le groupe de cybercriminels Curly COMrades a mis au point une m\u00e9thode sophistiqu\u00e9e pour \u00e9chapper \u00e0 la d\u00e9tection en exploitant les environnements Windows Hyper-V. En activant le r\u00f4le Hyper-V sur certains syst\u00e8mes, ils d\u00e9ploient des machines virtuelles l\u00e9g\u00e8res pour h\u00e9berger des logiciels malveillants, contournant ainsi les mesures de s\u00e9curit\u00e9 traditionnelles. Leurs op\u00e9rations incluent l'utilisation de logiciels malveillants tels que CurlyShell et CurlCat pour l'ex\u00e9cution de commandes et le traitement de donn\u00e9es, ainsi que des outils leur permettant de maintenir un acc\u00e8s permanent et d'\u00e9chapper \u00e0 la d\u00e9tection. Cette approche met en \u00e9vidence les vuln\u00e9rabilit\u00e9s des environnements virtualis\u00e9s et souligne la n\u00e9cessit\u00e9 de renforcer les strat\u00e9gies de s\u00e9curit\u00e9 contre les menaces v\u00e9hicul\u00e9es par les machines virtuelles.<\/p>","protected":false},"author":2,"featured_media":3894,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[31],"tags":[27],"class_list":["post-3893","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-awareness","tag-security"],"acf":{"avis_rs":"Are we truly prepared for a world where virtual machines serve as a double-edged sword for both innovation and invasive cyber threats? The Curly COMrades exemplify the cutting edge of cyber espionage by turning Windows Hyper-V environments into stealthy operational bases, bypassing traditional security defenses effortlessly. As these actors weaponize VMs, it\u2019s a stark reminder of the pressing need to rethink our security strategies to guard against such sophisticated exploits. What steps can we take today to better secure our virtualized environments before they become the next battleground for cyber espionage?"},"_links":{"self":[{"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/posts\/3893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/comments?post=3893"}],"version-history":[{"count":0,"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/posts\/3893\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/media\/3894"}],"wp:attachment":[{"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/media?parent=3893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/categories?post=3893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blooo.io\/fr\/wp-json\/wp\/v2\/tags?post=3893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}