Uma nova técnica de ataque está acendendo alertas no mundo da cibersegurança: Hyper-V Linux EDR se tornou o novo campo de batalha entre atacantes e defensores. Segundo um relatório da Bitdefender, o grupo de hackers Curly COMrades está explorando o Hyper-V, recurso nativo do Windows, para implantar uma máquina virtual Alpine Linux oculta dentro do sistema comprometido. Dessa forma, conseguem burlar soluções de EDR e operar sem serem detectados.
Em vez de usar malware tradicional diretamente no Windows, os criminosos criam um ambiente separado, invisível aos olhos dos antivírus modernos. O resultado é um ataque sofisticado, silencioso e extremamente difícil de detectar. Neste artigo, você vai entender como essa técnica funciona, quais ferramentas são utilizadas pelos hackers e o que pode ser feito para detectar e mitigar esse tipo de ameaça.
O que é o grupo Curly COMrades?
O grupo Curly COMrades foi documentado pela primeira vez pela Bitdefender e está ativo desde 2023. Seus interesses geopolíticos sugerem alinhamento com a Rússia, com atividades concentradas em países como Geórgia e Moldávia.
Eles já foram associados ao uso de ferramentas como CurlCat, RuRat e até o clássico Mimikatz, demonstrando experiência em espionagem digital, persistência em sistemas e exfiltração de dados sensíveis.
A anatomia do ataque: como o Hyper-V se tornou um esconderijo
O ataque não explora uma falha no Windows. Em vez disso, utiliza um método conhecido como Living off the Land — ou seja, tirar proveito de ferramentas legítimas do sistema. No caso, os invasores habilitam o Hyper-V, a plataforma de virtualização da Microsoft.
Com privilégios administrativos, ativam o Hyper-V e criam uma máquina virtual oculta. Nenhum alarme é disparado, pois tudo acontece usando recursos nativos e assinados pela própria Microsoft. Para o sistema operacional principal, apenas processos legítimos do Hyper-V estão em execução.
O “cavalo de Troia” Alpine Linux
Por que escolher o Alpine Linux? O motivo é simples: ele é extremamente leve e discreto. Com menos de 120 MB de uso em disco e aproximadamente 256 MB de RAM, pode ser executado sem levantar suspeitas.
Dentro dessa VM Linux escondida, operam as ferramentas maliciosas. Enquanto isso, no Windows, o que aparece é apenas um processo legítimo do Hyper-V. Nenhum antivírus tradicional verifica o que está acontecendo dentro da máquina virtual — e é exatamente aí que está o ponto cego do Hyper-V Linux EDR.
As ferramentas dentro da VM: CurlyShell e CurlCat
A Bitdefender identificou dois principais componentes maliciosos dentro da VM:
CurlyShell
- Um shell reverso persistente, escrito em C++.
- Atua como um serviço (daemon) em execução contínua dentro do Alpine Linux.
- Permite que os invasores executem comandos remotamente, mantenham persistência e façam movimentação lateral na rede.
CurlCat
- Variante especializada em túnel de tráfego e proxy reverso via SSH.
- Serve como ponte para desviar dados da vítima para servidores de comando e controle (C2).
- Ideal para exfiltração furtiva de arquivos e espionagem contínua.
Por que essa técnica de Hyper-V Linux EDR é tão perigosa?
Aqui está o “pulo do gato”: as soluções de EDR tradicionais monitoram apenas o sistema operacional host (Windows). Elas acompanham processos, chamadas de sistema, drivers e tráfego de rede do host.
Mas quando o malware está dentro de uma máquina virtual Linux isolada, ocorre o seguinte:
- O EDR não enxerga os processos do Alpine Linux.
- O tráfego de rede da VM sai mascarado pelo processo do Hyper-V, parecendo legítimo.
- Não há arquivos maliciosos no Windows, apenas uma VM com imagem assinada.
- Técnicas de sandboxing ou antivírus tradicionais não inspecionam o conteúdo da VM.
Ou seja: os atacantes criam um ambiente malicioso invisível para a maior parte das ferramentas de segurança atuais, contornando o Hyper-V Linux EDR com alta eficiência.
Detecção e mitigação: como reagir a este tipo de ataque?
Mesmo sendo uma técnica avançada, existem formas de detectar e prevenir esse tipo de invasão. Administradores Windows e profissionais de SOC devem ficar atentos aos seguintes pontos:
1. Monitoramento de ativação do Hyper-V
- A ativação inesperada do Hyper-V em estações comuns de trabalho é um alerta crítico.
- Isso pode ser visto em logs do Windows ou por ferramentas de inventário de software.
2. Observação de tráfego de rede anômalo
- Verificar conexões geradas a partir do processo vmms.exe (serviço do Hyper-V).
- Tráfego para IPs desconhecidos, especialmente em portas SSH (22), é altamente suspeito.
3. Controle de privilégios
- Apenas usuários autorizados devem ter privilégios para instalar Hyper-V.
- Aplicar políticas de princípio do menor privilégio (Least Privilege).
4. Vigilância sobre imagens de VM
- Verificar imagens ISO ou discos virtuais .vhdx que não são padrão da organização.
- Implementar regras específicas no EDR para monitorar criação de VMs.
Conclusão: a segurança é um jogo de gato e rato
O relatório da Bitdefender mostra claramente como as organizações precisam se preparar para ataques cada vez mais criativos e inesperados. Ao usar o Hyper-V Linux EDR como vetor de ataque, o grupo Curly COMrades demonstra que armas cibernéticas não dependem apenas de explorações de falhas, mas também do uso inteligente de ferramentas legítimas.
Se por um lado essa técnica é sofisticada e assustadora, por outro reforça a importância de monitoramento profundo, visibilidade em camadas e políticas de segurança restritivas. Em resumo: todo administrador deve desconfiar de recursos habilitados sem justificativa — especialmente Hyper-V.
