El actor de amenazas conocido como Camaradas rizados Se ha observado que explotan tecnologías de virtualización como una forma de eludir las soluciones de seguridad y ejecutar malware personalizado.
Según un nuevo informe de Bitdefender, se dice que el adversario habilitó la función Hyper-V en sistemas víctimas seleccionados para implementar una máquina virtual minimalista basada en Alpine Linux.
«Este entorno oculto, con su tamaño liviano (sólo 120 MB de espacio en disco y 256 MB de memoria), albergaba su shell inverso personalizado, CurlyShell, y un proxy inverso, CurlCat», dijo el investigador de seguridad Victor Vrabie, junto con Adrian Schipor y Martin Zugec, en un informe técnico.
Curly COMrades fue documentado por primera vez por el proveedor rumano de ciberseguridad en agosto de 2025 en relación con una serie de ataques dirigidos a Georgia y Moldavia. Se considera que el grupo de actividades está activo desde finales de 2023 y opera con intereses alineados con Rusia.
Se descubrió que estos ataques implementaban herramientas como CurlCat para la transferencia de datos bidireccional, RuRat para el acceso remoto persistente, Mimikatz para la recolección de credenciales y un implante modular .NET denominado MucorAgent, cuyas primeras iteraciones se remontan a noviembre de 2023.
En un análisis de seguimiento realizado en colaboración con Georgia CERT, se identificaron herramientas adicionales asociadas con el actor de amenazas, junto con intentos de establecer acceso a largo plazo utilizando Hyper-V como arma en hosts de Windows 10 comprometidos para configurar un entorno operativo remoto oculto.
«Al aislar el malware y su entorno de ejecución dentro de una VM, los atacantes evadieron efectivamente muchas detecciones EDR tradicionales basadas en host», dijeron los investigadores. «El actor de amenazas demostró una clara determinación de mantener una capacidad de proxy inverso, introduciendo repetidamente nuevas herramientas en el entorno».
Además de utilizar métodos basados en Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel y SSH para proxy y tunelización, Curly COMrades ha empleado varias otras herramientas, incluido un script PowerShell diseñado para la ejecución remota de comandos y CurlyShell, un binario ELF previamente no documentado implementado en la máquina virtual que proporciona un shell inverso persistente.
Escrito en C++, el malware se ejecuta como un demonio en segundo plano sin cabeza para conectarse a un servidor de comando y control (C2) e iniciar un shell inverso, lo que permite a los actores de amenazas ejecutar comandos cifrados. La comunicación se logra a través de solicitudes HTTP GET para sondear el servidor en busca de nuevos comandos y mediante solicitudes HTTP POST para transmitir los resultados de la ejecución del comando al servidor.
«Dos familias de malware personalizado, CurlyShell y CurlCat, estaban en el centro de esta actividad, compartiendo una base de código en gran medida idéntica pero divergiendo en la forma en que manejaban los datos recibidos: CurlyShell ejecutaba comandos directamente, mientras que CurlCat canalizaba el tráfico a través de SSH», dijo Bitdefender. «Estas herramientas se implementaron y operaron para garantizar un control flexible y adaptabilidad».