Una campaña del actor de amenazas conocido como Curly COMrades fue descubierta utilizando la función de virtualización Hyper V de equipos con Windows 10 para crear máquinas virtuales ocultas que permiten el acceso prolongado y encubierto en sistemas comprometidos.
El hallazgo, publicado por Bitdefender Labs el 4 de noviembre de 2025, revela que los atacantes habilitan Hyper-V en los sistemas comprometidos y despliegan una máquina virtual de bajo perfil —120 MB de disco y 256 MB de RAM— con Alpine Linux, donde alojan los programas maliciosos CurlyShell (una shell inversa persistente) y CurlCat (proxy inverso).
Esta técnica permite que el código malicioso opere aislado del sistema principal, reduciendo significativamente la posibilidad de ser detectado por soluciones tradicionales de protección de endpoints (EDR). No obstante, la comunicación del código malicioso aún debe salir por la red del equipo huésped, lo que ofrece una oportunidad para su detección mediante inspección de tráfico de red.
El ataque no se limita a la virtualización. Los investigadores también observaron el uso de scripts de PowerShell que inyectan credenciales de Kerberos en el proceso LSASS, facilitando el movimiento lateral dentro de la red. Además, se detectó la creación automática de cuentas locales para mantener la persistencia del acceso.
¿Qué pueden hacer las organizaciones y usuarios?
- Monitorizar la red desde el host (Network Attack Defense): desplegar soluciones que inspeccionen el tráfico saliente del equipo (aunque provenga de una VM oculta) para detectar patrones sospechosos.
- Vigilar accesos anómalos a procesos de credenciales: detectar intentos inusuales de acceder o manipular procesos como LSASS y la creación/inyección sospechosa de tickets Kerberos.
- Adoptar un enfoque de seguridad por capas (“defence-in-depth”), ya que los atacantes están evadiendo técnicas de detección en el endpoint.
Esta campaña pone en evidencia que los actores de amenazas avanzan hacia métodos cada vez más complejos y menos visibles, lo que obliga a revisar no sólo los antivirus tradicionales, sino también los controles de red, virtualización y cuentas de sistema.
Indicadores de compromiso (IOCs)
A continuación se pueden consultar los principales IOCs asociados a la campaña Curly COMrades, publicados por Bitdefender.
| Tipo de indicador | Datos | Datos adicionales | Descripción |
| fuente | https://businessinsights.bitdefender.com/curly-comrades-evasion-persistence-hidden-hyper-v-virtual-machines | https://intellizone.bitdefender.com/en/threat-search/threats/BDuos7k53t | Curly COMrades: Evasion and Persistence via Hidden Hyper-V Virtual Machines |
| archivo | c6dbf3de8fd1fc9914fae7a24aa3c43d | /bin/init_tools | CurlyShell |
| archivo | 1a6803d9a2110f86bb26fcfda3606302 | /root/updater | CurlCat |
| archivo | 22515396e03a5b2533cff96f3087b98f | C:\Windows\ps1\utc.exe | resocks |
| archivo | 22515396e03a5b2533cff96f3087b98f | C:\programdata\Microsoft\MF\utc.exe | resocks |
| ip | 45[.]43[.]91[.]10 | resocks C2 | |
| archivo | cb1c3d52a74a6ca2ba8fe86e06462a6d | C:\programdata\microsoft\mf\mf.exe | Ligolo-ng |
| ip | 194[.]87[.]245[.]239 | Ligolo-ng C2 | |
| archivo relacionado | C:\programdata\microsoft\WlanSvc\Profiles\Interfaces\Profile.exe | Unusual tstunnel location | |
| archivo relacionado | C:\programdata\microsoft\WlanSvc\Profiles\Interfaces\service.conf | tstunnel config | |
| ip | 91[.]99[.]25[.]54 | tstunnel C2 | |
| dominio | yohi[.]cc | tstunnel C2 | |
| dominio | 77[.]221[.]137[.]132[.]sslip[.]io | tstunnel C2 | |
| archivo relacionado | C:\programdata\microsoft\Provisioning\AssetCache\CellularUx\Cellular.exe | Unusual SSH location | |
| archivo relacionado | C:\programdata\microsoft\network\downloader\nettrace.exe | Unusual SSH location | |
| archivo relacionado | C:\programdata\microsoft\Provisioning\AssetCache\CellularUx\Cache | SSH config | |
| archivo relacionado | C:\programdata\microsoft\Provisioning\AssetCache\CellularUx\Asset | SSH config | |
| archivo relacionado | C:\programdata\microsoft\network\downloader\edbres000000.jrs | SSH config | |
| archivo relacionado | C:\programdata\microsoft\network\downloader\edb.jrs | SSH config | |
| tarea programada | CheckUpdateTemlpatesMgr | \Microsoft\Windows\UNP\ | SSH scheduled task |
| tarea programada | PrinterStartupTask | \Microsoft\Windows\Printing\ | tstunnel scheduled task |
Fuente
Ciberprisma - alianza por la ciberseguridad 