Nhóm tác nhân đe dọa được biết đến với tên gọi Curly COMrades đã bị phát hiện lợi dụng công nghệ ảo hóa để né tránh các giải pháp bảo mật và thực thi mã độc tùy chỉnh.
Theo một báo cáo mới từ Bitdefender, nhóm đối tượng này được cho là đã kích hoạt vai trò Hyper-V trên các hệ thống nạn nhân được chọn để triển khai một máy ảo Alpine Linux tối giản.
"Môi trường ẩn này, với dung lượng nhỏ gọn (chỉ 120MB dung lượng đĩa và 256MB bộ nhớ), đã lưu trữ reverse shell tùy chỉnh của chúng là CurlyShell và một reverse proxy là CurlCat," các nhà nghiên cứu bảo mật Victor Vrabie, Adrian Schipor và Martin Zugec cho biết trong một báo cáo kỹ thuật.
Curly COMrades lần đầu tiên được một nhà cung cấp an ninh mạng Romania ghi nhận vào tháng 8 năm 2025 liên quan đến một loạt các cuộc tấn công nhắm vào Georgia và Moldova. Nhóm hoạt động này được đánh giá là đã hoạt động từ cuối năm 2023, với các mục tiêu phù hợp với lợi ích của Nga.
Các cuộc tấn công này được phát hiện đã triển khai các công cụ như CurlCat để truyền dữ liệu hai chiều, RuRat để truy cập từ xa liên tục, Mimikatz để thu thập thông tin xác thực và một implant .NET dạng module có tên MucorAgent, với các phiên bản đầu tiên có từ tháng 11 năm 2023.
Trong một phân tích tiếp theo được thực hiện với sự hợp tác của Georgia CERT, các công cụ bổ sung liên quan đến tác nhân đe dọa này đã được xác định, cùng với các nỗ lực thiết lập quyền truy cập dài hạn bằng cách vũ khí hóa Hyper-V trên các máy chủ Windows 10 bị xâm nhập để thiết lập một môi trường hoạt động từ xa ẩn.
"Bằng cách cô lập mã độc và môi trường thực thi của nó trong một VM, những kẻ tấn công đã bỏ qua hiệu quả nhiều cơ chế phát hiện EDR truyền thống dựa trên host," các nhà nghiên cứu cho biết. "Tác nhân đe dọa đã thể hiện quyết tâm rõ ràng trong việc duy trì khả năng reverse proxy, liên tục đưa các công cụ mới vào môi trường."
Ngoài việc sử dụng Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel và các phương pháp dựa trên SSH để tạo proxy và tunneling, Curly COMrades đã sử dụng nhiều công cụ khác, bao gồm một script PowerShell được thiết kế để thực thi lệnh từ xa và CurlyShell, một ELF binary chưa từng được ghi nhận trước đây được triển khai trong máy ảo, cung cấp một reverse shell dai dẳng.
Được viết bằng C++, mã độc được thực thi dưới dạng daemon nền không giao diện để kết nối với máy chủ command-and-control (C2) và khởi chạy một reverse shell, cho phép các tác nhân đe dọa chạy các lệnh được mã hóa. Giao tiếp được thực hiện thông qua các yêu cầu HTTP GET để thăm dò máy chủ tìm lệnh mới và sử dụng các yêu cầu HTTP POST để truyền kết quả thực thi lệnh trở lại máy chủ.
"Hai họ mã độc tùy chỉnh – CurlyShell và CurlCat – là trọng tâm của hoạt động này, chia sẻ một codebase phần lớn giống hệt nhau nhưng khác biệt trong cách chúng xử lý dữ liệu nhận được: CurlyShell thực thi lệnh trực tiếp, trong khi CurlCat chuyển lưu lượng thông qua SSH," Bitdefender cho biết. "Những công cụ này được triển khai và vận hành để đảm bảo kiểm soát linh hoạt và khả năng thích ứng."
