کمیته رکن چهارم – پژوهشگران امنیتی شرکت Bitdefender از حملات پیشرفتهای پرده برداشتهاند که در آن، گروه Curly COMrades با بهرهگیری از قابلیت Hyper-V ویندوز، اقدام به اجرای بدافزارهای سفارشی درون ماشین مجازی لینوکسی کردهاند تا از شناسایی توسط سامانههای EDR جلوگیری کنند.
به گزارش کمیته رکن چهارم، این گروه تهدید در سیستمهای هدف Hyper-V را فعال و یک ماشین بسیار سبک مبتنی بر Alpine Linux را مستقر کردهاند که تنها ۱۲۰ مگابایت فضای دیسک و ۲۵۶ مگابایت حافظه مصرف میکند. در این محیط مخفی، ابزارهای CurlyShell و CurlCat برای اجرای دستورات از راه دور و انتقال ترافیک بهکار گرفته شدهاند.
گزارش Bitdefender میگوید این گروه از اوت ۲۰۲۵ شناسایی شده و بیشتر حملات آن کشورهای گرجستان و مولداوی را هدف گرفتهاند. ابزارهایی مانند Mimikatz، RuRat، MucorAgent و اسکریپتهای پاورشل نیز بخشی از زیرساخت حمله بودهاند.
تحقیقات تکمیلی با همکاری CERT گرجستان نشان داد که این گروه با استفاده از ماشینهای مجازی پنهانشده در ویندوز ۱۰، توانستهاند ساختاری برای دسترسی بلندمدت و دور زدن سامانههای امنیتی فراهم کنند. ارتباطات بدافزار از طریق درخواستهای رمزنگاریشده HTTP انجام میشود.
ابزار CurlyShell وظیفه اجرای مستقیم دستورات را بر عهده دارد، در حالی که CurlCat ترافیک را از طریق SSH هدایت میکند. هر دو ابزار از پایه کدی مشابه بهره میبرند اما عملکرد متفاوتی دارند و برای کنترل انعطافپذیر و پنهانی طراحی شدهاند. این روشها نشاندهنده پیچیدگی فزاینده حملات سایبری و تلاش مداوم مهاجمان برای عبور از موانع امنیتی متعارف است.
