- Curly COMrades menerapkan VM Alpine Linux pada host Windows untuk menyembunyikan aktivitas malware reverse-shell
- Lalu lintas VM disalurkan melalui IP host, melewati EDR tradisional dan menutupi komunikasi keluar
- Sasarannya mencakup institusi-institusi Georgia dan Moldova; operasi selaras dengan kepentingan geopolitik Rusia
Peretas Rusia yang dikenal sebagai Curly COMrades terlihat menyembunyikannya perangkat lunak perusak di mesin virtual (VM) berbasis Linux yang diterapkan pada perangkat Windows, para ahli telah memperingatkan.
Peneliti keamanan dari Bitdefender setelah menganalisis aktivitas terbaru bersama dengan Tim Tanggap Darurat Komputer Georgia (CERT), menemukan bahwa Curly COMrades pertama kali mulai menargetkan korbannya pada Juli 2025, ketika mereka menjalankan perintah jarak jauh untuk mengaktifkan microsoft-Fitur virtualisasi hyper-v dan nonaktifkan antarmuka manajemennya.
Kemudian, mereka menggunakan fitur tersebut untuk mengunduh VM ringan berbasis Alpine Linux yang berisi beberapa implan malware.
penyerang Rusia
Malware yang digunakan dalam kampanye ini disebut CurlyShell dan CurlCat, keduanya menyediakan shell terbalik. Para peretas juga menyebarkan skrip PowerShell yang memberikan otentikasi jarak jauh dan kemampuan eksekusi perintah sewenang-wenang.
Untuk menyembunyikan aktivitas di depan mata, mereka mengonfigurasi VM untuk menggunakan adaptor jaringan Switch Default di Hyper-V. Dengan begitu, semua lalu lintas VM melewati tumpukan jaringan host menggunakan jaringan internal Hyper-V.
“Sebenarnya, semua komunikasi keluar yang berbahaya tampaknya berasal dari alamat IP mesin host yang sah,” jelas para peneliti. “Dengan mengisolasi malware dan lingkungan eksekusinya di dalam VM, para penyerang secara efektif melewati banyak deteksi EDR berbasis host tradisional.”
Kawan-kawan Curly pertama kali terlihat pada tahun 2024 dan meskipun aktivitas mereka sejalan dengan kepentingan Federasi Rusia, tidak ditemukan kaitan langsungnya. Di dalam Agustus 2025Bitdefender melaporkan bahwa korbannya termasuk organisasi pemerintah dan peradilan di Georgia, serta perusahaan energi di Moldova. Korban dalam kejadian ini tidak disebutkan namanya.
Bitdefender menekankan bahwa tidak ada tumpang tindih yang kuat dengan kelompok APT Rusia yang dikenal, tetapi operasi Curly COMrades “selaras dengan tujuan geopolitik Federasi Rusia.”
Sejak perhatian Rusia beralih ke Ukraina pada tahun 2014 dengan aneksasi Krimea, negara-negara di perbatasan timurnya telah kehilangan perhatian. Georgia, bagaimanapun, berada dalam posisi yang sama dengan Ukraina, dengan dua wilayah mendeklarasikan kemerdekaan dengan bantuan militer Rusia – Ossetia Selatan, dan Abkhazia. Oleh karena itu, masuk akal jika mata-mata dunia maya Rusia ingin mengawasi negara-negara tetangga dan upaya diplomatik mereka.
Melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
