Bitdefender, compañía global especializada en ciberseguridad, ha publicado una nueva investigación que describe las tácticas avanzadas empleadas por el grupo APT de origen ruso conocido como Curly COMrades, centradas en mantener el acceso a sistemas comprometidos y evitar su detección.
El análisis revela que los atacantes están utilizando funciones legítimas de virtualización Hyper-V para desplegar máquinas virtuales ligeras desde los sistemas comprometidos. Estas máquinas, por su bajo consumo de recursos y su aislamiento respecto al sistema principal, permiten ocultar la actividad maliciosa y pasar inadvertidas ante muchas soluciones tradicionales de detección y respuesta en endpoints (EDR).
Según Bitdefender, Curly COMrades habilita Hyper-V en los equipos de las víctimas para ejecutar una máquina virtual basada en Alpine Linux, donde despliega dos herramientas personalizadas: CurlyShell, una consola de control remoto, y CurlCat, un proxy inverso utilizado para canalizar tráfico y ejecutar comandos de forma encubierta.
El grupo también recurre a scripts de PowerShell que aprovechan tickets Kerberos válidos para moverse lateralmente dentro de las redes comprometidas, incrementando su control sin generar alertas.
Estos comportamientos muestran una tendencia creciente entre los atacantes: el uso de herramientas legítimas de administración y virtualización para mantener la persistencia sin levantar sospechas, lo que plantea nuevos retos para las defensas corporativas.
Bitdefender advierte de que la campaña podría tener un alcance significativo y recomienda a empresas y organismos públicos aplicar las medidas y los indicadores de compromiso incluidos en su informe técnico.
