Le groupe de cybercriminels connu sous le nom de Curly COMrades a été observé en train d’exploiter les technologies de virtualisation pour contourner les solutions de sécurité et exécuter des logiciels malveillants personnalisés.

D’après un nouveau rapport de Bitdefender, l’attaquant aurait activé le rôle Hyper-V sur certains systèmes victimes afin de déployer une machine virtuelle minimaliste basée sur Alpine Linux.

« Cet environnement caché, avec son empreinte légère (seulement 120 Mo d’espace disque et 256 Mo de mémoire), hébergeait leur shell inversé personnalisé, CurlyShell, et un proxy inversé, CurlCat », ont déclaré le chercheur en sécurité Victor Vrabie, en collaboration avec Adrian Schipor et Martin Zugec, dans un rapport technique.

Le groupe Curly COMrades a été initialement documenté par le fournisseur roumain de cybersécurité en août 2025, en lien avec une série d’attaques visant la Géorgie et la Moldavie. Ce groupe serait actif depuis fin 2023 et agirait pour le compte de la Russie.

Il a été constaté que ces attaques utilisaient des outils tels que CurlCat pour le transfert bidirectionnel de données, RuRat pour l’accès distant persistant, Mimikatz pour la collecte d’identifiants et un implant .NET modulaire baptisé MucorAgent, dont les premières versions remontent à novembre 2023.

Dans une analyse complémentaire menée en collaboration avec Georgia CERT, des outils supplémentaires associés à l’acteur malveillant ont été identifiés, ainsi que des tentatives d’établissement d’un accès à long terme en utilisant Hyper-V sur des hôtes Windows 10 compromis pour mettre en place un environnement d’exploitation à distance caché.

« En isolant le logiciel malveillant et son environnement d’exécution au sein d’une machine virtuelle, les attaquants ont contourné efficacement de nombreuses solutions EDR classiques basées sur l’hôte », ont déclaré les chercheurs. « L’acteur malveillant a démontré une volonté manifeste de maintenir une capacité de proxy inverse, en introduisant régulièrement de nouveaux outils dans l’environnement. »

Outre l’utilisation de Resocks , Rsockstun , Ligolo-ng , CCProxy , Stunnel et des méthodes basées sur SSH pour le proxy et le tunneling, Curly COMrades a employé divers autres outils, notamment un script PowerShell conçu pour l’exécution de commandes à distance et CurlyShell, un binaire ELF auparavant non documenté déployé dans la machine virtuelle qui fournit un shell inversé persistant.

Écrit en C++, ce logiciel malveillant s’exécute en arrière-plan, sans interface graphique, pour se connecter à un serveur de commande et de contrôle (C2) et lancer un shell inversé, permettant ainsi aux attaquants d’exécuter des commandes chiffrées. La communication s’effectue via des requêtes HTTP GET pour interroger le serveur et obtenir de nouvelles commandes, et via des requêtes HTTP POST pour transmettre les résultats de l’exécution des commandes au serveur.

« Deux familles de logiciels malveillants personnalisés – CurlyShell et CurlCat – étaient au cœur de cette activité. Partageant une base de code quasi identique, elles différaient cependant dans leur traitement des données reçues : CurlyShell exécutait les commandes directement, tandis que CurlCat acheminait le trafic via SSH », a déclaré Bitdefender. « Ces outils étaient déployés et exploités de manière à garantir un contrôle et une adaptabilité flexibles. »