Un grupo de ciberespionaje ruso, conocido como Curly COMrades, ha sido descubierto utilizando la tecnología Hyper-V de Microsoft para crear máquinas virtuales ocultas con Linux Alpine, con el fin de evadir los sistemas de detección de seguridad (EDR).
Dentro de estas máquinas virtuales, los atacantes alojaban sus propias herramientas maliciosas, como CurlyShell (una reverse shell) y CurlCat (un proxy inverso), logrando pasar desapercibidos mientras mantenían comunicación cifrada con sus servidores.
Una nueva táctica: malware escondido dentro de Linux virtualizado
La firma de ciberseguridad Bitdefender ha revelado una técnica sofisticada utilizada por el grupo Curly COMrades, activo desde mediados de 2024 y vinculado a intereses geopolíticos rusos.
Los atacantes aprovechan el hipervisor Hyper-V de Microsoft para ejecutar una máquina virtual basada en Alpine Linux, donde cargan su malware sin dejar rastros visibles en el sistema anfitrión Windows.
El resultado: una operación de espionaje digital casi invisible para las soluciones de seguridad tradicionales.
Cómo funciona el ataque
Según el informe, tras obtener acceso remoto a los sistemas comprometidos, los atacantes activaban el rol de Hyper-V en las máquinas víctimas y luego ocultaban su interfaz de administración para no levantar sospechas.
Dentro de Hyper-V, desplegaban una máquina virtual ultraligera (120 MB de disco y 256 MB de memoria) con Linux Alpine, donde instalaban sus herramientas principales:
- CurlyShell: ejecuta comandos y mantiene conexión constante con los servidores de control (C2).
- CurlCat: actúa como un proxy SOCKS encubierto, encapsulando tráfico SSH dentro de solicitudes HTTPS, lo que les permite moverse dentro de la red sin ser detectados.
Todo el tráfico malicioso parece provenir de la IP legítima del equipo anfitrión.
Evasión mediante camuflaje
Para no ser descubiertos, los atacantes nombraron su máquina virtual como “WSL”, haciendo referencia al Windows Subsystem for Linux, una característica legítima de Windows.
Así, los administradores y sistemas EDR interpretaban su presencia como parte del propio sistema operativo.
Además, configuraron el adaptador de red en modo Default Switch, canalizando toda la comunicación a través del stack del host.
Desde el exterior, el tráfico parecía normal; pero en realidad, era una sesión encubierta de control remoto.
Ataques con alta sofisticación técnica
El análisis forense reveló que Curly COMrades cifró las cargas útiles del malware y usó PowerShell para persistencia y movimiento lateral dentro de redes corporativas.
Dos scripts fueron clave:
- 💼 Inyección de tickets Kerberos en LSASS, permitiendo autenticarse en sistemas remotos y ejecutar comandos.
- 🧰 Creación de cuentas locales mediante Políticas de Grupo (GPO), extendiendo el control a todas las máquinas del dominio.
Esta estrategia minimiza las huellas digitales y dificulta la detección por parte de los equipos de respuesta ante incidentes.
¿Por qué es tan peligrosa esta técnica?
Usar virtualización como capa de ocultamiento no es nuevo, pero la mayoría de las herramientas EDR no inspeccionan el tráfico interno de las máquinas virtuales.
Esto convierte a la técnica en un método eficaz para evadir la detección, especialmente en entornos empresariales sin monitoreo integral de red.
El malware no se ejecuta en el sistema principal, sino dentro de una VM invisible para los antivirus convencionales.
Recomendaciones de seguridad
Bitdefender y el CERT de Georgia, que colaboraron en la investigación, recomiendan a las organizaciones:
- 🔍 Monitorear activaciones anómalas de Hyper-V o creación inesperada de VMs.
- 🧠 Detectar accesos a LSASS o inyecciones de tickets Kerberos no autorizadas.
- 📜 Supervisar el uso de PowerShell en políticas de grupo (GPO) que creen o modifiquen cuentas locales.
- 🧰 Implementar protección multicapa, con análisis de tráfico, monitoreo de red y detección basada en comportamiento.
Contexto del grupo Curly COMrades
El grupo Curly COMrades ha sido vinculado previamente con ataques contra instituciones gubernamentales y empresas energéticas en Georgia y Moldavia, en operaciones alineadas con los intereses estratégicos del Kremlin.
Su capacidad técnica y su uso de tácticas encubiertas lo posicionan como una amenaza avanzada persistente (APT) en constante evolución.
🧠 Curly COMrades representa la convergencia entre espionaje estatal y sofisticación técnica en Linux y Windows.
El caso demuestra que la frontera entre Linux y Windows ya no ofrece seguridad natural.
Los atacantes están combinando ambos entornos mediante virtualización, transformando herramientas legítimas como Hyper-V en canales de espionaje invisibles.
💡 La lección es clara:
La seguridad debe ser transversal, multicapa y consciente de la virtualización. Incluso un entorno Linux puede convertirse en un escondite perfecto para el malware.
Fuente: somoslibres
