FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员发现，名为"Curly COMrades"的威胁组织正通过虚拟化技术绕过安全防护方案，部署定制化恶意软件。据Bitdefender最新报告，攻击者在选定受害系统上启用Hyper-V角色，部署基于Alpine Linux的极简虚拟机。

攻击手法：隐匿虚拟环境

这款隐藏的虚拟环境仅需120MB磁盘空间与256MB内存，内部部署了定制反向Shell工具CurlyShell及反向代理CurlCat。研究人员指出，该组织自2023年底开始活跃，其攻击目标与俄罗斯利益高度吻合。2025年8月，罗马尼亚安全厂商首次披露该组织针对格鲁吉亚和摩尔多瓦的系列攻击。

工具链剖析

攻击工具链包含四大组件：

• CurlCat：实现双向数据传输的反向代理

• RuRat：提供持久化远程访问

• Mimikatz：凭据窃取工具

• MucorAgent：模块化.NET植入程序（最早可追溯至2023年11月）

与格鲁吉亚计算机应急响应小组的联合分析进一步发现，攻击者通过在已入侵的Windows 10主机上武器化Hyper-V，构建隐藏的远程操作环境。

技术规避原理

研究人员强调："将恶意软件及其执行环境隔离在虚拟机内，使攻击者能有效规避多数传统主机端EDR检测。该组织表现出维持反向代理能力的明确意图，持续向环境注入新工具。"

除使用Resocks、Rsockstun、Ligolo-ng等代理工具外，该组织还运用：

• 支持远程命令执行的PowerShell脚本

• CurlyShell：此前未公开的ELF二进制文件，在虚拟机内提供持久化反向Shell

核心恶意软件机制

采用C++编写的CurlyShell以后台守护进程运行，通过HTTP GET请求轮询C2服务器指令，再通过HTTP POST回传执行结果。Bitdefender分析指出："CurlyShell与CurlCat采用相同代码基，但数据处理方式不同——前者直接执行命令，后者通过SSH传输流量，这种设计确保了控制的灵活性与适应性。"

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）