Хакерская матрёшка: Windows внутри ПК, Linux внутри Windows, вирус внутри Linux — антивирус сдался

Curly COMrades Bitdefender Hyper-V CurlyShell CurlCat Windows Linux кибератака
Хакерская матрёшка: Windows внутри ПК, Linux внутри Windows, вирус внутри Linux — антивирус сдался
Curly COMrades Bitdefender Hyper-V CurlyShell CurlCat Windows Linux кибератака

Группировка Curly COMrades атакует инфраструктуру Грузии и Молдавии с конца 2023 года.

image

Злоумышленники из группировки Curly COMrades нашли способ скрывать вредоносную активность от систем обнаружения, используя возможности виртуализации на Windows. Как выяснила команда Bitdefender, атакующие вручную активируют роль Hyper-V на скомпрометированных устройствах и разворачивают лёгкую виртуальную машину на базе Alpine Linux, чтобы выполнять вредоносный код в изолированной среде.

Созданная таким образом виртуальная машина занимает всего 120 мегабайт на диске и использует лишь 256 мегабайт оперативной памяти. Внутри неё разворачивается обратная оболочка CurlyShell и прокси-инструмент CurlCat, позволяющие атакующим подключаться к системе и выполнять команды без прямого взаимодействия с основной операционной системой жертвы. Такой подход затрудняет работу традиционных средств обнаружения, ориентированных на процессы внутри Windows.

Curly COMrades действует с конца 2023 года, и ранее была связана с кибератаками на инфраструктуру Грузии и Молдавии. В августе 2025 года Bitdefender впервые опубликовала исследование, в котором описывались методы и инструменты этой группировки. Тогда речь шла о применении CurlCat для двунаправленной передачи данных, RuRat для удалённого доступа, Mimikatz для кражи учётных данных и о модульном .NET-импланте MucorAgent.

Новое расследование, проведённое совместно с грузинским CERT, позволило выявить обновлённый инструментарий атакующих. На заражённых системах с Windows 10 фиксируются попытки создания изолированных виртуальных сред, внутри которых продолжается вредоносная активность. Такой подход позволяет сохранять доступ к целям даже при обновлении или удалении базовых компонентов системы.

В числе применяемых средств — PowerShell-скрипт для удалённого выполнения команд, а также неизвестный ранее исполняемый файл под Linux под названием CurlyShell. Это компактное C++-приложение работает как фоновый демон и устанавливает зашифрованное соединение с управляющим сервером, получая команды через HTTP GET и отправляя результаты через POST-запросы.

CurlyShell и CurlCat, по данным Bitdefender, имеют общую кодовую базу, но различаются в способе обработки полученной информации. Первая программа выполняет команды напрямую, вторая же направляет трафик через SSH, обеспечивая гибкость и устойчивость каналов связи. Дополнительно злоумышленники используют прокси и туннелирование через Resocks, Ligolo-ng, CCProxy, Stunnel и другие инструменты, стремясь максимально скрыть свои действия.