💡 **虚拟化技术规避检测：** Curly COMrades 利用 Windows 的 Hyper-V 功能，在受害者系统上部署一个轻量级的 Alpine Linux 虚拟机。这种隔离的执行环境极大地增加了传统主机端 EDR 检测的难度，因为恶意软件及其操作被隐藏在虚拟机内部，使得安全软件难以发现。

💻 **定制恶意软件套件：** 该威胁行为者使用一系列定制工具，核心是 CurlyShell（一个用 C++ 编写的 ELF 二进制文件，提供持久的反向 Shell）和 CurlCat（一个反向代理工具）。这些工具共享大部分代码库，但 CurlyShell 直接执行命令，而 CurlCat 则通过 SSH 转发流量，提供了灵活的控制和数据传输能力。

🎯 **目标与活动时间线：** Curly COMrades 的活动自 2023 年底开始活跃，主要针对格鲁吉亚和摩尔多瓦地区，其行动目标被评估为与俄罗斯的利益一致。他们通过部署包括 RuRat、Mimikatz 和 MucorAgent 等在内的多种工具，旨在实现持久的远程访问和凭证窃取。

🌐 **持续演进与反向代理：** 该组织展现出维持反向代理能力的明确意图，不断向其隐藏环境中引入新工具。除了 CurlyShell 和 CurlCat，他们还利用了 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 以及基于 SSH 的代理和隧道技术，以确保其操作的隐蔽性和持续性。

HackerNews 编译，转载请注明出处：

名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案，执行定制恶意软件。

根据Bitdefender的最新报告，该威胁行为者会在选定的受害者系统上启用 Hyper-V 角色，部署一个精简版的阿尔派 Linux（Alpine Linux）虚拟机。

安全研究员在技术报告中表示：“这个隐藏环境占用资源极少，仅需 120MB 磁盘空间和 256MB 内存，托管着他们的定制反向 Shell 工具 CurlyShell，以及反向代理工具 CurlCat。”

这家罗马尼亚网络安全厂商于 2025 年 8 月首次记录到Curly COMrades的相关活动，其一系列攻击针对格鲁吉亚和摩尔多瓦。该活动集群被评估为自 2023 年底起持续活跃，其行动目标与俄罗斯的利益一致。

这些攻击会部署多种工具，包括用于双向数据传输的 CurlCat、用于持久远程访问的 RuRat、用于凭证窃取的 Mimikatz，以及一个名为 MucorAgent 的模块化.NET 植入程序，其早期版本可追溯至 2023 年 11 月。

在与格鲁吉亚计算机应急响应小组合作开展的后续分析中，研究人员发现了该威胁行为者使用的更多工具，同时发现他们试图通过在受感染的 Windows 10 主机上利用 Hyper-V 建立隐藏远程操作环境，以实现长期访问。

研究人员称：“通过将恶意软件及其执行环境隔离在虚拟机内，攻击者有效绕过了许多传统的主机端 EDR检测。该威胁行为者展现出维持反向代理能力的明确意图，不断向环境中引入新工具。”

除了使用 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 和基于 SSH 的代理与隧道技术外，Curly COMrades还采用了其他多种工具，包括一个用于远程命令执行的 PowerShell 脚本，以及此前未被记录的 ELF 二进制文件 CurlyShell—— 该工具部署在虚拟机中，可提供持久反向 Shell。

这款恶意软件由 C++ 编写，以无头后台守护进程的形式执行，用于连接命令与控制（C2）服务器并启动反向 Shell，使威胁行为者能够运行加密命令。通信通过 HTTP GET 请求向服务器查询新命令，并通过 HTTP POST 请求将命令执行结果回传至服务器实现。

比特梵德表示：“两款定制恶意软件家族 ——CurlyShell 和 CurlCat 是此次活动的核心，它们共享大部分相同的代码库，但在接收数据的处理方式上存在差异：CurlyShell 直接执行命令，而 CurlCat 通过 SSH 转发流量。这些工具的部署与运行旨在确保灵活的控制能力和适应性。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文