Tehdit aktörü olarak bilinen Kıvırcık COMrades Güvenlik çözümlerini atlamanın ve özel kötü amaçlı yazılımları çalıştırmanın bir yolu olarak sanallaştırma teknolojilerinden yararlanıldığı gözlemlendi.
Bitdefender’ın yeni bir raporuna göre, saldırganın seçilen kurban sistemlerde Hyper-V rolünün minimalist, Alpine Linux tabanlı bir sanal makine dağıtmasını sağladığı söyleniyor.
Güvenlik araştırmacısı Victor Vrabie, Adrian Schipor ve Martin Zugec ile birlikte teknik bir raporda şunları söyledi: “Hafif kaplama alanı (yalnızca 120 MB disk alanı ve 256 MB bellek) ile bu gizli ortam, özel ters kabuk CurlyShell’i ve ters proxy CurlCat’i barındırıyordu.”
Curly COMrades, ilk olarak Ağustos 2025’te Romanyalı siber güvenlik sağlayıcısı tarafından Gürcistan ve Moldova’yı hedef alan bir dizi saldırıyla bağlantılı olarak belgelendi. Faaliyet kümesinin 2023 sonlarından bu yana aktif olduğu ve Rusya ile uyumlu çıkarlarla faaliyet gösterdiği değerlendiriliyor.
Bu saldırıların, çift yönlü veri aktarımı için CurlCat, kalıcı uzaktan erişim için RuRat, kimlik bilgileri toplama için Mimikatz ve erken yinelemeleri Kasım 2023’e kadar uzanan MucorAgent adlı modüler bir .NET implantı gibi araçları kullandığı tespit edildi.
Georgia CERT ile işbirliği içinde yürütülen bir takip analizinde, gizli bir uzaktan işletim ortamı oluşturmak için güvenliği ihlal edilmiş Windows 10 ana bilgisayarlarında Hyper-V’yi silahlandırarak uzun vadeli erişim sağlama girişimlerinin yanı sıra, tehdit aktörüyle ilişkili ek araçlar da belirlendi.
Araştırmacılar, “Saldırganlar, kötü amaçlı yazılımı ve onun yürütme ortamını bir VM’de izole ederek, birçok geleneksel ana bilgisayar tabanlı EDR algılamasını etkili bir şekilde atlattı” dedi. “Tehdit aktörü, ortama sürekli olarak yeni araçlar sunarak ters proxy yeteneğini sürdürme konusunda net bir kararlılık sergiledi.”
Curly COMrades, proxy ve tünelleme için Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel ve SSH tabanlı yöntemleri kullanmanın yanı sıra, uzaktan komut yürütme için tasarlanmış bir PowerShell betiği ve kalıcı bir ters kabuk sağlayan, sanal makinede konuşlandırılan daha önce belgelenmemiş bir ELF ikili programı olan CurlyShell dahil olmak üzere çeşitli başka araçlar da kullandı.
C++ dilinde yazılan kötü amaçlı yazılım, bir komuta ve kontrol (C2) sunucusuna bağlanmak ve bir ters kabuk başlatmak için başsız bir arka plan programı olarak yürütülür ve tehdit aktörlerinin şifrelenmiş komutları çalıştırmasına olanak tanır. İletişim, sunucuyu yeni komutlar için yoklamaya yönelik HTTP GET istekleri aracılığıyla ve komut yürütmenin sonuçlarını sunucuya geri iletmek için HTTP POST isteklerinin kullanılmasıyla sağlanır.
Bitdefender, “İki özel kötü amaçlı yazılım ailesi – CurlyShell ve CurlCat – bu etkinliğin merkezinde yer alıyordu; büyük ölçüde aynı kod tabanını paylaşıyordu ancak alınan verileri işleme biçimleri farklıydı: CurlyShell komutları doğrudan yürütürken, CurlCat trafiği SSH üzerinden yönlendiriyordu.” dedi Bitdefender. “Bu araçlar esnek kontrol ve uyarlanabilirlik sağlamak için kullanıldı ve çalıştırıldı.”