Curly COMrades (Abuso de Hyper-V para bypass de EDR)
- Security Team
- 28 de nov. de 2025
- 2 min de leitura
O CTI da ICS Labs identificou uma técnica avançada de evasão de EDR que está sendo ativamente explorada pelo grupo Curly COMrades, um ator de ameaça associado a interesses russos. Essa técnica consiste na criação de uma máquina virtual na qual são executadas as ações maliciosas, a fim de estabelecer uma interface administrativa nesse ambiente oculto.
Visão geral da ameaça:
O diferencial desta campanha é o uso de virtualização legítima (Hyper-V) como mecanismo de evasão. Em vez de instalar ferramentas maliciosas diretamente no Windows, os atacantes habilitam o Hyper-V no sistema comprometido e implantam uma máquina virtual minimalista baseada em Alpine Linux.
Dentro dessa VM oculta, eles executam dois componentes principais: CurlyShell, reverse shell persistente via HTTPS e CurlCat proxy reverso que encapsula SSH dentro de HTTP, burlando defesas de rede.
Como a VM opera fora do alcance direto do EDR, a atividade maliciosa fica isolada da análise comportamental tradicional, mas o tráfego ainda sai pela stack de rede do host.
Pontos de Atenção Identificados:
No host Windows:
Ativação inesperada de recursos Hyper-V via DISM:
Comandos suspeitos: dism /online /enable-feature, powershell.exe -c Import-VM, powershell.exe -c Start-VM
Pastas incomuns associadas a VMs: C:\ProgramData\microsoft\AppV\app\Virtual Machines\
Scripts PowerShell persistentes: c:\programdata\kb_upd.ps1, c:\Windows\ps1\screensaver.ps1, c:\Windows\ps1\locals.ps1
Criação ou recriação automática de contas locais
Dentro da VM (quando detectável):
VMs falsas chamadas “WSL”, embora não relacionadas ao Windows Subsystem for Linux.
Tráfego HTTPS periódico para infraestrutura suspeita.
SSH encapsulado em HTTP (padrões anômalos de tamanho e periodicidade).
Ações de recomendação:
Isolar imediatamente o host comprometido da rede.
Coletar memória RAM antes de reiniciar, devido à execução de ferramentas dentro da VM.
Verificar existência de VMs não autorizadas.
Desabilitar o Hyper-V se não houver necessidade do seu uso.
Remover VMs, discos virtuais e pastas associadas ao artefato.
Excluir scripts e artefatos persistentes nas pastas mapeadas.
Revogar credenciais usadas no host.
Monitorar movimentação lateral, incluindo acessos SMB e execuções remotas.
Notificar o time de Resposta a Incidentes para aprofundar a análise.
Medidas de fortalecimento e Prevenção:
Bloquear o Hyper-V por GPO/AppLocker/WDAC em ambientes que não o utilizam.
Monitorar comandos DISM relacionados à habilitação de virtualização.
Ativar Script Block Logging e Module Logging no PowerShell.
Minimizar exposição de contas administrativas no ambiente.
Bloquear comunicação com domínios recém-criados via DNS filtering ou firewall
Inspecionar tráfego HTTPS anômalo, especialmente sessões duradouras e padronizadas.
IOCs:
INDICADORES | TIPO |
C:\ProgramData\microsoft\AppV\app\Virtual Machines\ | Diretório |
powershell.exe -c Import-VM | Comando |
powershell.exe -c Start-VM | Comando |
Últimas atualizações:
12 de agosto, 2025: O site The Hacker News relatou ter descoberto um novo grupo APT chamado Curly COMrades, que estava realizando ataques na Moldova.
04 de novembro, 2025: A plataforma Bitdefender lançou uma investigação, na qual documenta novas técnicas e ferramentas utilizadas pelo threat actor, incluindo o uso do Hyper-V para fins de estabelecimento de comando e controle.
![Comunicado - FortiCloud Single Sign-On (SSO) [FG-IR-25-647]](https://static.wixstatic.com/media/4c1ca0_76141435f8304e25a77496584f3873b6~mv2.png/v1/fill/w_980,h_551,al_c,q_90,usm_0.66_1.00_0.01,enc_avif,quality_auto/4c1ca0_76141435f8304e25a77496584f3873b6~mv2.png)
Comentários