كشف تقرير تقني جديد أن فاعل تهديد يُعرف باسم Curly COMrades استغل تقنيات التّمثيل الافتراضي في بيئات ويندوز لالتفاف على حلول الأمن ونشر برمجيات خبيثة مخصّصة داخل جهاز افتراضي خفيف الوزن يعمل بـــAlpine Linux.
استغلال Hyper-V لإنشاء بيئة مخفية
قال باحثو شركة Bitdefender إن المهاجمين قاموا بتمكين دور Hyper-V على أنظمة ويندوز المستهدفة لتشغيل جهاز افتراضي بسيط يعتمد على توزيعة Alpine Linux. ووصفت البيئة المخفية بصغر بصمتها: نحو 120 ميغابايت مساحة قرص و256 ميغابايت ذاكرة، واستُخدمت لاستضافة شل عكسي مخصَّص باسم CurlyShell وعميل وكيل عكسي باسم CurlCat.
خلفية النشاط والأدوات المرافقة
تم توثيق مجموعة Curly COMrades لأول مرة بواسطة بايع مواطن روماني في أغسطس 2025 ضمن سلسلة هجمات استهدفت جورجيا ومولدوفا، ويُقدَّر أن نشاطها جارٍ منذ أواخر 2023 ويُرجَّح أنّ لها مصالح تتقاطع مع روسيا.
أدوات متعددة وُثّقت في هذه الحملة، بينها CurlCat لنقل البيانات ثنائي الاتجاه، وRuRat للوصول البعيد الدائم، وMimikatz لسرقة بيانات الاعتماد، وحقن .NET معياري أُطلق عليه MucorAgent، مع آثار امتدّت إلى نوفمبر 2023.
التهرّب من كشف نقاط النهاية وطرائق الاتصال
أوضح الباحثون أنّ فصل البرمجيات الخبيثة وبيئة تنفيذها داخل الجهاز الافتراضي مكّن المهاجمين من تجاوز كثير من آليات كشف حلول كشف واستجابة نقاط النهاية (EDR) القائمة على المضيف. واعتمدت المجموعة مجموعة واسعة من تقنيات البروكسي والتّونيلينغ مثل Resocks، Rsockstun، Ligolo-ng، CCProxy، Stunnel، وطرق SSH، بالإضافة إلى نصوص PowerShell لتنفيذ أوامر عن بُعد.
وأشارت التحليلات إلى وجود اثنين من عائلات البرمجيات المخصصة محور العمل: CurlyShell وCurlCat؛ كلاهما يشتركان في قاعدة شيفرة متقاربة، لكن CurlyShell ينفّذ الأوامر مباشرة بينما يمرّر CurlCat الحركة عبر SSH.
خصائص البرمجيات الخبيثة وسلوك التشغيل
برمجت أدوات CurlyShell وCurlCat بلغة C++ لتعمل كخدمات خلفية بدون واجهة (headless daemons) تتصل بخوادم القيادة والتحكّم (C2) وتُطلق شل عكسي يسمح للمهاجمين بإرسال أوامر مشفَّرة وتنفيذها. تستخدم الاتصالات استعلامات HTTP GET لجلب الأوامر وHTTP POST لإرسال نتائج التنفيذ إلى الخادم.
تحليل لاحق بالتعاون مع CERT جورجيا كشف عن أدوات إضافية ومحاولات لتثبيت وصول طويل الأمد عن طريق تسليح Hyper-V على مضيفات Windows 10 لإنشاء بيئة تشغيل عن بُعد مخفية.
