Curly COMrades (Abuso de Hyper-V para eludir EDR)

El CTI de ICS Labs ha identificado una técnica avanzada de evasión de EDR que está siendo explotada activamente por el grupo Curly COMrades, un actor de amenaza asociado a intereses rusos. Esta técnica consiste en la creación de una máquina virtual donde se ejecutan acciones maliciosas, con el fin de establecer una interfaz administrativa dentro de este entorno oculto.

Visión general de la amenaza:

El elemento diferenciador de esta campaña es el uso de virtualización legítima (Hyper-V) como mecanismo de evasión. En lugar de instalar herramientas maliciosas directamente en Windows, los atacantes habilitan Hyper-V en el sistema comprometido e implementan una máquina virtual minimalista basada en Alpine Linux.

Dentro de esta VM oculta, ejecutan dos componentes principales:

• CurlyShell, una reverse shell persistente sobre HTTPS

• CurlCat, un proxy inverso que encapsula SSH dentro de HTTP, burlando las defensas de red.

Como la VM opera fuera del alcance directo del EDR, la actividad maliciosa permanece aislada del análisis conductual tradicional, aunque el tráfico sigue saliendo por la pila de red del host.

Puntos de atención identificados:

En el host Windows:

• Activación inesperada de funciones Hyper-V mediante DISM:

• Comandos sospechosos: dism /online /enable-feature, powershell.exe -c Import-VM, powershell.exe -c Start-VM

• Carpetas inusuales asociadas a VMs: C:\ProgramData\microsoft\AppV\app\Virtual Machines\

• Scripts persistentes de PowerShell: c:\programdata\kb_upd.ps1, c:\Windows\ps1\screensaver.ps1, c:\Windows\ps1\locals.ps1

• Creación o recreación automática de cuentas locales.

Dentro de la VM (cuando es detectable):

• VMs falsas llamadas “WSL”, sin relación con Windows Subsystem for Linux.

• Tráfico HTTPS periódico hacia infraestructura sospechosa.

• SSH encapsulado en HTTP (patrones anómalos de tamaño y periodicidad).

Acciones recomendadas:

• Aislar inmediatamente el host comprometido de la red.

• Recopilar memoria RAM antes de reiniciar, debido a la ejecución de herramientas dentro de la VM.

• Verificar la existencia de VMs no autorizadas.

• Deshabilitar Hyper-V si no es necesario.

• Eliminar VMs, discos virtuales y carpetas asociadas al artefacto.

• Borrar scripts y artefactos persistentes en las carpetas mapeadas.

• Revocar credenciales utilizadas en el host.

• Monitorizar movimiento lateral, incluyendo accesos SMB y ejecuciones remotas.

• Notificar al equipo de Respuesta a Incidentes para un análisis más profundo.

Medidas de fortalecimiento y prevención:

• Bloquear Hyper-V mediante GPO/AppLocker/WDAC en entornos donde no se utilice.

• Monitorizar comandos DISM relacionados con la habilitación de virtualización.

• Activar Script Block Logging y Module Logging en PowerShell.

• Minimizar la exposición de cuentas administrativas en el entorno.

• Bloquear comunicación con dominios recién creados mediante filtrado DNS o firewall.

• Inspeccionar tráfico HTTPS anómalo, especialmente sesiones prolongadas y con patrones repetitivos.

IOCs:

Últimas actualizaciones:

• 12 de agosto, 2025: The Hacker News informó sobre el descubrimiento de un nuevo grupo APT llamado Curly COMrades, que realizaba ataques en Moldavia.

• 4 de noviembro, 2025: Bitdefender publicó una investigación que documenta nuevas técnicas y herramientas utilizadas por el actor de amenaza, incluyendo el uso de Hyper-V para fines de comando y control.