Pro-Russische hackers verbergen zich in Windows met Linux-VM's

woensdag, 5 november 2025 (10:09) - Techzine

In dit artikel:

Bitdefender, in samenwerking met het Georgische CERT, publiceerde recent onderzoek naar de pro-Russische hackergroep Curly COMrades. De onderzoekers laten zien hoe deze groep Hyper-V, de virtualisatietechniek in Windows 10, misbruikt om een verborgen Linux-omgeving te draaien en zo langdurig onopgemerkt toegang te houden tot geïnfecteerde systemen.

Na het verkrijgen van toegang schakelen de aanvallers Hyper-V in maar deïndexeren ze beheertools om toezicht te bemoeilijken. Via gescripte CMD- en PowerShell-commando’s downloaden ze een klein RAR-bestand dat zich als video voordoet; het bevat een vooraf geconfigureerde Alpine Linux-virtuele machine die automatisch wordt geïmporteerd. De VM krijgt de naam "WSL" om verdacht gedrag te maskeren als normaal ontwikkelaarstoolsgebruik, terwijl het in feite in een geïsoleerde Hyper-V-laag draait die veel endpoint detection-oplossingen omzeilt.

In die mini-Linuxinstallatie (ongeveer 120 MB schijfruimte en 256 MB RAM) draaien twee hoofdcomponenten: CurlyShell, een permanente reverse shell, en CurlCat, een tool om netwerkverkeer te verbergen. Doordat verkeer via het IP-adres van de Windows-host loopt, lijkt communicatie voor verdedigingssystemen afkomstig van de legitieme machine. De aanvallers combineren hun eigen tools met bestaande proxytunnels zoals Ligolo-ng, CCProxy, Stunnel en SSH en passen VM-configuratiebestanden aan zodat verbindingen naar hun command-and-control-servers lopen.

Daarnaast troffen de onderzoekers PowerShell-scripts aan die Kerberos-tickets injecteren in het LSASS-proces om externe authenticatie mogelijk te maken, plus scripts die via Group Policy lokale accounts aanmaken voor blijvende toegang. Deze technieken illustreren hoe kwaadwillenden legitieme Windows-functies misbruiken om EDR-oplossingen te omzeilen en langdurige aanwezigheid te garanderen.

Bitdefender waarschuwt dat netwerkgebaseerde detectie en proactieve systeemhardening nodig zijn om dit soort verborgen activiteiten op te sporen en te blokkeren. Organisaties wordt aangeraden hun verdediging uit te breiden buiten alleen endpoint-tools, omdat isolatie binnen een virtuele laag veel gangbare beveiligingsmaatregelen kan passeren.