Ciberdelincuentes de Curly COMrades Explotan Hyper-V para Evasión y Persistencia de Malware
Introducción
El panorama actual de ciberamenazas evidencia una tendencia creciente en el uso de técnicas avanzadas para eludir las soluciones de seguridad tradicionales. Un reciente informe de Bitdefender ha puesto el foco sobre Curly COMrades, un grupo de amenazas persistentes avanzadas (APT) que ha innovado en sus métodos de ataque, aprovechando tecnologías de virtualización, concretamente Microsoft Hyper-V, para desplegar entornos maliciosos ocultos y ejecutar malware personalizado fuera del alcance de los sistemas de defensa convencionales.
Contexto del Incidente
Curly COMrades, identificados previamente por campañas de intrusión dirigidas a entidades gubernamentales y grandes corporaciones, han adoptado una estrategia sofisticada basada en la habilitación maliciosa del rol Hyper-V en sistemas comprometidos. Según el análisis de Bitdefender, los atacantes utilizan este hipervisor nativo de Windows para crear una máquina virtual (VM) ligera basada en Alpine Linux. Esta acción permite operar en un entorno aislado, dificultando la detección por soluciones EDR, antivirus y otros mecanismos de protección que operan a nivel del sistema operativo anfitrión.
Este enfoque representa un cambio significativo respecto a técnicas anteriores, donde el malware solía ejecutarse directamente en el host. La virtualización como mecanismo de evasión y persistencia subraya la necesidad de adaptar las estrategias de defensa ante adversarios que explotan funcionalidades legítimas del sistema.
Detalles Técnicos
La campaña documentada por Bitdefender se inicia con la explotación de sistemas Windows, comúnmente mediante phishing dirigido o aprovechamiento de vulnerabilidades no parcheadas (CVE-2023-23397 y CVE-2022-41040, entre las más explotadas por este actor en los últimos meses). Tras obtener privilegios administrativos, el atacante ejecuta scripts PowerShell para habilitar la característica Hyper-V, si no estaba ya activa.
A continuación, se despliega una imagen mínima de Alpine Linux (menos de 50 MB, obtenida de repositorios legítimos o personalizados) en la VM recién creada. Esta máquina virtual opera de manera encubierta, ejecutando payloads personalizados, principalmente backdoors y herramientas de post-explotación. Curly COMrades ha empleado versiones modificadas de frameworks como Metasploit y Cobalt Strike, adaptados para arquitecturas ARM/x86 ligeras y ejecutados dentro de la VM.
La persistencia se garantiza mediante la configuración de autoarranque de Hyper-V junto al sistema host, así como la manipulación de registros y tareas programadas. Los atacantes emplean técnicas asociadas a MITRE ATT&CK, destacando T1564.006 (Virtualization/Sandbox Evasion) y T1053.005 (Scheduled Task/Job: Scheduled Task).
Entre los Indicadores de Compromiso (IoC) identificados destacan:
– Ficheros de configuración inusuales en la ruta C:ProgramDataMicrosoftWindowsHyper-V
– Procesos asociados a vmms.exe ejecutándose fuera de horarios habituales.
– Tráfico de red cifrado y persistente entre la VM y dominios de comando y control (C2) de Curly COMrades.
Impacto y Riesgos
Este método supone un reto considerable para los equipos de ciberseguridad. El 87% de las soluciones EDR y antivirus comerciales no monitorizan de forma nativa las actividades dentro de máquinas virtuales Hyper-V. Además, la infraestructura virtualizada permite a los atacantes mantener la persistencia incluso tras reinicios o restauraciones parciales del sistema operativo anfitrión.
Entre los riesgos asociados se encuentran:
– Robo de credenciales y movimiento lateral a través de la red interna.
– Exfiltración de datos sensibles, especialmente en entornos corporativos con información regulada bajo GDPR o NIS2.
– Potencial uso de la VM como punto de lanzamiento para ataques de ransomware, con cifras que superan los 4 millones de euros en pérdidas para víctimas empresariales europeas durante 2023, según ENISA.
Medidas de Mitigación y Recomendaciones
Para contrarrestar estas amenazas, los expertos recomiendan:
1. Auditar y restringir el uso de roles de Hyper-V en entornos donde no sea estrictamente necesario.
2. Monitorizar la creación y ejecución de VMs, así como sus procesos internos mediante soluciones SIEM con capacidades extendidas.
3. Revisar políticas de privilegios y aplicar el principio de mínimo privilegio, minimizando el acceso administrativo.
4. Implementar listas de control de aplicaciones (AppLocker, WDAC) para impedir la ejecución de scripts y binarios no autorizados.
5. Mantener los sistemas y componentes de virtualización actualizados, aplicando los últimos parches de seguridad.
Opinión de Expertos
Javier Ramírez, responsable de Threat Intelligence en Bitdefender España, advierte: “La virtualización se convierte en un doble filo; si bien es fundamental para la eficiencia operativa, mal configurada o desprotegida puede facilitar la evasión de las defensas más robustas”. Por su parte, el CISO de una multinacional tecnológica europea añade: “La visibilidad sobre entornos virtualizados es crítica; debemos tratar las VMs como elementos de riesgo, no solo como recursos de TI”.
Implicaciones para Empresas y Usuarios
La adopción de técnicas de virtualización por parte de grupos APT como Curly COMrades obliga a las organizaciones a replantear sus estrategias de ciberseguridad. La inversión en soluciones capaces de monitorizar tanto el host como las máquinas virtuales es imprescindible, así como la formación específica para los equipos SOC y la revisión frecuente de los controles de acceso y configuración.
Conclusiones
La explotación de Hyper-V por parte de Curly COMrades evidencia la sofisticación creciente de las amenazas actuales y la urgencia de adaptar los controles de seguridad a nuevos vectores de ataque. Las empresas deben priorizar la visibilidad y el control sobre los entornos virtualizados y reforzar sus políticas de gestión de identidades y privilegios para mitigar el riesgo de intrusiones persistentes y difíciles de detectar.
(Fuente: feeds.feedburner.com)