В 2025 году группа Curly COMrades начала использовать Microsoft Hyper-V для развертывания скрытых Alpine Linux виртуальных машин на скомпрометированных Windows-системах. Эта методика позволяет изолировать малвари от инструментов обнаружения на устройстве и поддерживать скрытый доступ на длительный срок.
Техника внедрения и особенности
Операция была обнаружена в середине 2025 года в ходе совместного расследования с грузинским CERT, когда была выявлена подозрительная активность с одного из грузинских атакованных сайтов. Расследование показало использование Hyper-V для запуска Linux-малвари, что позволяет избежать традиционных защитных механизмов.
На захваченных Windows-машинах злоумышленники активировали Hyper-V, загрузили сжатое изображение виртуальной машины, замаскированное под видеофайл, и развернули его через PowerShell. В результате запущенная Alpine Linux использует минимальные ресурсы и внешне кажется "родной" Windows IP.
Инструменты и методы
Внутри виртуальной машины были развернуты две утилиты: CurlyShell, постоянная обратная оболочка на C++, и CurlCat, скрытый обратный прокси. Внешние инструменты включали PowerShell скрипт для внедрения Kerberos билетов и скрипты GPO для поддержки устойчивости системы, как и инструменты Ligolo-ng и CCProxy.
Рекомендации по безопасности
Службы безопасности должны аудировать использование Hyper-V, отключать его, где возможно, следить за скрытыми виртуальными машинами и проверять активности PowerShell и WMI. Также рекомендуется включить инспекцию сетевого уровня на системах с включенной виртуализацией.
