C 2025-07 экспертами Bitdefender совместно с грузинской CERT было выявлено, что хакерская группа CurlyCOMrades использует виртуальные машины Alpine Linux для скрытия вредоносного программного обеспечения на Windows-системах. Эти атаки особенно затронули государственные структуры в Грузии и энергетические компании в Молдове.
Использование Alpine Linux
Вредоносное ПО, обнаруженное в Alpine Linux, включает компоненты CurlyShell и CurlCat, а также PowerShell-скрипты для удаленной аутентификации и выполнения произвольных команд. Импланты распространялись в легковесной виртуальной машине Alpine, которая затем активировала функцию виртуализации Hyper-V на хостах Windows.
Методы подключения и обхода
Для обхода обнаружения на уровне EDR, роботы CurlyComrades использовали сетевой адаптер DefaultSwitch в Hyper-V, что позволяло направлять весь трафик виртуальной машины через сетевой стек хоста. Таким образом, подозрительные запросы выглядели как исходящие из легитимного IP хоста.
По данным экспертов, действия этой группы могут соответствовать геополитическим интересам России, хотя прямой связи с государством выявлено не было.
