Een aan Rusland gelinkte hackgroep, Curly COMrades, gebruikt Microsoft’s Hyper-V om malware op gecompromitteerde Windows-systemen te verbergen, wat een aanzienlijke evolutie in stealth-technieken markeert.
Volgens een bericht van 4 novemberrapport van cyberbeveiligingsbedrijf Bitdefenderinstalleert de groep een kleine virtuele Alpine Linux-machine om een geheime operationele basis te creëren.
Deze VM voert aangepaste malware uit, waardoor de aanvallers de EDR-software (Endpoint Detection and Response) kunnen omzeilen.
Deze techniek, die sinds juli bij aanvallen werd waargenomen, biedt de groep aanhoudende, slecht zichtbare toegang voor cyberspionagecampagnes. Steun voor het onderzoek kwam van het Georgische nationale CERT, wat het verfijnde en mondiale karakter van de dreiging onderstreepte.
Verstopt in het volle zicht: Native Hyper-V misbruiken voor stealth
Met een nieuwe ontwijkingstechniek keren aan Rusland gelinkte hackers een native Windows-functie tegen zichzelf. Voor het eerst geïdentificeerd door Bitdefender in augustus 2025 vanwege het gebruik ervanCOM-kaping, is de groep nu overgegaan op het misbruiken van Hyper-V, het ingebouwde virtualisatieplatform van Microsoft.
In plaats van externe tools in te zetten die beveiligingswaarschuwingen kunnen activeren, maken de aanvallers gebruik van legitieme systeemcomponenten die al op de doelmachine aanwezig zijn. Dit is een klassieke ‘leven van het land’-benadering.
Forensische analyse bracht een implementatieproces in meerdere fasen aan het licht. Aanvallers voeren eerst dism-opdrachten uit om de Hyper-V-rol in te schakelen.
Cruciaal is dat ze ook demicrosoft-hyper-v-Management-clientsfunctie, waardoor de componenten moeilijker te herkennen zijn voor beheerders.
Als Hyper-V is geactiveerd, wordt een reeks opdrachten uitgevoerdcurldownloadt het VM-archief. PowerShell-cmdlets zoalsImport-VMEnStart-VMstart het dan. Om argwaan verder te voorkomen, wordt de VM bedrieglijk “WSL” genoemd, wat het legitieme Windows-subsysteem voor Linux nabootst.
Een geïsoleerd arsenaal: de Alpine Linux VM en aangepaste malware
Door gebruik te maken van Hyper-V creëren de bedreigingsactoren een blinde vlek voor veel standaard beveiligingstools.
De kern van deze strategie is een minimalistische virtuele machine gebaseerd opAlpine Linux, een distributie die bekend staat om zijn kleine omvang. De keuze is bewust; de verborgen omgeving heeft een lichtgewicht footprint van slechts 120 MB schijfruimte en 256 MB geheugen, waardoor de impact op het hostsysteem tot een minimum wordt beperkt.
Binnen deze geïsoleerde omgeving beheert de groep zijn aangepaste malwaresuite. “De aanvallers hebben de Hyper-V-rol op geselecteerde slachtoffersystemen mogelijk gemaakt om een minimalistische, op Alpine Linux gebaseerde virtuele machine in te zetten.”
Deze basis bevat twee belangrijke C++-tools: ‘CurlyShell’, een omgekeerde shell, en ‘CurlCat’, een omgekeerde proxy.
CurlyShell bereikt persistentie binnen de VM via een eenvoudige cron-job op rootniveau. CurlCat is geconfigureerd als eenProxyCommandin de SSH-client, waarbij al het uitgaande SSH-verkeer wordt verpakt in standaard HTTP-verzoeken om op te vallen. Beide implantaten gebruiken een niet-standaard Base64-alfabet voor codering om detectie te omzeilen.
Om de detectie nog moeilijker te maken, gebruikt de VM de standaardswitch van Hyper-V, die zijn verkeer via Network Address Translation (NAT) door de netwerkstack van de host leidt.
Zoals Bitdefender opmerkt: “In feite lijkt alle kwaadaardige uitgaande communicatie afkomstig te zijn van het IP-adres van de legitieme hostmachine.”Dergelijke ontwijkingstactieken worden steeds gebruikelijker.
Voorbij de VM: persistentie en laterale beweging met PowerShell
Terwijl de Hyper-V VM een onopvallende basis biedt, gebruikt Curly COMrades aanvullende tools om de persistentie te behouden en lateraal te bewegen.
De onderzoekers ontdekten verschillende kwaadaardige PowerShell-scripts die werden gebruikt om hun positie te versterken, wat een gelaagde aanpak demonstreerde voor het behouden van toegang.
Eén script, geïmplementeerd via Groepsbeleid, is ontworpen om een lokaal gebruikersaccount te maken op machines die lid zijn van een domein. Herhaaldelijk reset het script het wachtwoord van het account, een slim mechanisme om ervoor te zorgen dat de aanvallers toegang behouden, zelfs als een beheerder de inloggegevens ontdekt en wijzigt.
Nog een geavanceerd PowerShell-script, een aangepaste versie van het publiekTicketInjectornut, werd gebruikt voor zijwaartse beweging.
Zie ook:
Het injecteert een Kerberos-ticket in hetSubsysteemservice van de lokale beveiligingsautoriteit (LSASS)proces, waardoor authenticatie met andere externe systemen mogelijk is zonder dat er wachtwoorden in platte tekst nodig zijn.
Met deze ‘pass-the-ticket’-techniek kunnen ze opdrachten uitvoeren, gegevens exfiltreren of extra malware in de hele omgeving inzetten. De veelzijdige aanpak benadrukt de operationele volwassenheid van de groep, een kenmerk van door de staat gesponsorde dreigingsactoren.
