El actor de amenazas conocido como Camaradas rizados se ha observado que explotan las tecnologías de virtualización como una forma de eludir las soluciones de seguridad y ejecutar malware personalizado.
Según un nuevo informe de Bitdefender, se dice que el adversario habilitó la función de Hyper-V en los sistemas víctimas seleccionados para implementar una máquina virtual minimalista basada en Alpine Linux.
«Este entorno oculto, que ocupaba poco espacio (solo 120 MB de espacio en disco y 256 MB de memoria), alojaba su shell inverso personalizado, CurlyShell, y un proxy inverso, CurlCat», afirma el investigador de seguridad Victor Vrabie, junto con Adrian Schipor y Martin Zugec, en un informe técnico.
Curly ComRades fue primera documentación por parte del proveedor rumano de ciberseguridad en agosto de 2025 en relación con una serie de ataques contra Georgia y Moldavia. Se estima que el grupo de actividades está activo desde finales de 2023 y opera con intereses alineados con los de Rusia.
Se descubrió que estos ataques utilizaban herramientas como CurlCat para la transferencia bidireccional de datos, RuRat para el acceso remoto persistente, Mimikatz para la recolección de credenciales y un implante modular de.NET denominado MucorAgent, cuyas primeras iteraciones se remontan a noviembre de 2023.
En un análisis de seguimiento realizado en colaboración con el CERT de Georgia, se identificaron herramientas adicionales asociadas al actor de la amenaza, además de intentos de establecer un acceso a largo plazo mediante el uso de Hyper-V como arma en los hosts Windows 10 comprometidos para configurar un entorno operativo remoto oculto.
«Al aislar el malware y su entorno de ejecución dentro de una máquina virtual, los atacantes evitaron de manera efectiva muchas detecciones de EDR tradicionales basadas en el host», dijeron los investigadores. «El autor de la amenaza demostró una clara determinación por mantener una capacidad de proxy inverso e introdujo repetidamente nuevas herramientas en el entorno».
Además de usar Resucitar , Rock-stun , Ligolo-NG , CCProxy , Túnel , y métodos basados en SSH para proxy y tunelización, Curly ComRades ha empleado otras herramientas, como un script de PowerShell diseñado para la ejecución remota de comandos y CurlyShell, un binario ELF previamente indocumentado que se implementa en la máquina virtual y que proporciona un shell inverso persistente.
Escrito en C++, el malware se ejecuta como un demonio en segundo plano sin memoria para conectarse a un servidor de comando y control (C2) y lanzar un shell inverso, lo que permite a los actores de la amenaza ejecutar comandos cifrados. La comunicación se logra mediante solicitudes HTTP GET para sondear el servidor en busca de nuevos comandos y mediante solicitudes HTTP POST para transmitir los resultados de la ejecución del comando al servidor.
«Dos familias de malware personalizadas, CurlyShell y CurlCat, estuvieron en el centro de esta actividad, ya que compartían una base de código prácticamente idéntica, pero divergían en la forma en que gestionaban los datos recibidos: CurlyShell ejecutaba los comandos directamente, mientras que CurlCat canalizaba el tráfico a través de SSH», afirma Bitdefender. «Estas herramientas se implementaron y utilizaron para garantizar un control flexible y una adaptabilidad».