De bedreigingsacteur bekend als Krullende COMrades Er is waargenomen dat virtualisatietechnologieën worden misbruikt als een manier om beveiligingsoplossingen te omzeilen en aangepaste malware uit te voeren.
Volgens een nieuw rapport van Bitdefender zou de tegenstander de Hyper-V-rol op geselecteerde slachtoffersystemen hebben ingeschakeld om een minimalistische, op Alpine Linux gebaseerde virtuele machine in te zetten.
“Deze verborgen omgeving, met zijn lichtgewicht footprint (slechts 120 MB schijfruimte en 256 MB geheugen), hostte hun aangepaste reverse shell, CurlyShell, en een reverse proxy, CurlCat”, aldus beveiligingsonderzoeker Victor Vrabie, samen met Adrian Schipor en Martin Zugec, in een technisch rapport.
Curly COMrades werd voor het eerst gedocumenteerd door de Roemeense cyberbeveiligingsleverancier in augustus 2025 in verband met een reeks aanvallen gericht op Georgië en Moldavië. Er wordt geschat dat het activiteitencluster sinds eind 2023 actief is en opereert met belangen die in lijn zijn met Rusland.
Deze aanvallen bleken gebruik te maken van tools als CurlCat voor bidirectionele gegevensoverdracht, RuRat voor permanente toegang op afstand, Mimikatz voor het verzamelen van inloggegevens en een modulair .NET-implantaat genaamd MucorAgent, met vroege iteraties die teruggaan tot november 2023.
In een vervolganalyse, uitgevoerd in samenwerking met Georgia CERT, zijn aanvullende tools geïdentificeerd die verband houden met de bedreigingsacteur, naast pogingen om toegang op lange termijn tot stand te brengen door Hyper-V te bewapenen op gecompromitteerde Windows 10-hosts om een verborgen externe besturingsomgeving op te zetten.
“Door de malware en de uitvoeringsomgeving ervan binnen een VM te isoleren, omzeilden de aanvallers effectief veel traditionele hostgebaseerde EDR-detecties”, aldus de onderzoekers. “De bedreigingsacteur toonde een duidelijke vastberadenheid om een reverse proxy-capaciteit te behouden, door herhaaldelijk nieuwe tools in de omgeving te introduceren.”
Naast het gebruik van Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel en SSH-gebaseerde methoden voor proxy en tunneling, heeft Curly COMrades verschillende andere tools gebruikt, waaronder een PowerShell-script dat is ontworpen voor het uitvoeren van externe opdrachten en CurlyShell, een voorheen ongedocumenteerd ELF-binair bestand dat in de virtuele machine is geïmplementeerd en een aanhoudende omgekeerde shell biedt.
De malware, geschreven in C++, wordt uitgevoerd als een headless achtergronddaemon om verbinding te maken met een command-and-control (C2)-server en een omgekeerde shell te lanceren, waardoor de bedreigingsactoren gecodeerde opdrachten kunnen uitvoeren. Communicatie wordt bereikt via HTTP GET-verzoeken om de server te peilen naar nieuwe opdrachten en via HTTP POST-verzoeken om de resultaten van de opdrachtuitvoering terug naar de server te verzenden.
“Twee op maat gemaakte malwarefamilies – CurlyShell en CurlCat – stonden centraal in deze activiteit. Ze deelden een grotendeels identieke codebasis, maar verschilden in de manier waarop ze met ontvangen gegevens omgingen: CurlyShell voerde opdrachten rechtstreeks uit, terwijl CurlCat het verkeer via SSH leidde”, aldus Bitdefender. “Deze tools werden ingezet en gebruikt om flexibele controle en aanpassingsvermogen te garanderen.”
