کمیته رکن چهارم – شرکت امنیتی Bitdefender در گزارشی اعلام کرد که گروهی با نام Curly COMrades با بهرهگیری از محیط مجازی Alpine Linux، حملات سایبری پیشرفتهای را طراحی کردهاست که به مهاجمان امکان میدهد راهکارهای امنیتی را دور بزنند.
به گزارش کمیته رکن چهارم، این گروه با فعالسازی قابلیت Hyper-V در سیستمعامل ویندوز و اجرای ماشین مجازی سبک مبتنی بر Alpine Linux، بستر پنهانی برای اجرای بدافزارها فراهم کردهاند. در این ماشین مجازی، دو ابزار اصلی CurlyShell و CurlCat برای اجرای فرمانها و انتقال ترافیک استفاده شده است. این روش به مهاجمان کمک میکند تا سامانههای تشخیص رفتار مشکوک مانند EDR را فریب دهند، زیرا فعالیت بدافزارها در محیط جداشدهای صورت میگیرد.
Bitdefender اعلام کرده است که این گروه نخستینبار در آگوست ۲۰۲۵ شناسایی شد و حملات آن عمدتاً کشورهای گرجستان و مولداوی را هدف قرار دادهاند. ابزارهای مورد استفاده این گروه شامل RuRat، Mimikatz، MucorAgent و اسکریپتهای PowerShell برای کنترل از راه دور بوده است.
تحقیقات مشترک با CERT گرجستان نشان داده که این تهدید با ایجاد محیطهای مجازی مخفی در ویندوز ۱۰، دسترسی مداوم و کنترلشدهای برای مهاجمان ایجاد کرده است. دو ابزار اصلی این گروه یعنی CurlyShell و CurlCat با وجود شباهت در ساختار، عملکرد متفاوتی دارند؛ یکی مستقیماً فرمان اجرا میکند و دیگری ترافیک را از طریق SSH انتقال میدهد.
به گفته پژوهشگران، استفاده از محیطهای مجازی سبک برای اجرای مخفیانه بدافزارها، نشان از پیچیدگی تاکتیکهای این گروه دارد و حاکی از آن است که فناوری مجازیسازی میتواند ابزاری مؤثر برای عبور از تدابیر امنیتی باشد.
