{"id":1547,"date":"2025-11-07T09:21:16","date_gmt":"2025-11-07T08:21:16","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/les-poupees-russes-malveillantes-de-curly-comrades\/"},"modified":"2025-11-07T09:21:16","modified_gmt":"2025-11-07T08:21:16","slug":"les-poupees-russes-malveillantes-de-curly-comrades","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/les-poupees-russes-malveillantes-de-curly-comrades\/","title":{"rendered":"Les poup\u00e9es russes malveillantes de Curly COMrades"},"content":{"rendered":"<p>Si vous me lisez depuis longtemps, vous savez que<br \/>\n<a href=\"https:\/\/korben.info\/collections\/hackers\/\">les hackers russes ne manquent jamais d\u2019imagination<\/a><br \/>\nquand il s\u2019agit de contourner les antivirus\u2026 Mais alors l\u00e0, le groupe <strong>Curly COMrades<\/strong> vient de sortir un truc qui d\u00e9boite du genou de gnome\u2026 Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cach\u00e9es dans des Windows. Oui, des russes qui cr\u00e9ent de v\u00e9ritables poup\u00e9es russes num\u00e9rique\u2026 qui aurait pu pr\u00e9voir ^^ ?<\/p>\n<p>Et c\u2019est vicieux vous allez voir\u2026 les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y d\u00e9ploient une VM Alpine Linux ultra-minimaliste. 120 Mo d\u2019espace disque et 256 Mo de RAM\u2026 C\u2019est tellement l\u00e9ger que \u00e7a passe compl\u00e8tement sous les radars des<br \/>\n<a href=\"https:\/\/fr.wikipedia.org\/wiki\/Endpoint_detection_and_response\">EDR<\/a><br \/>\nclassiques.<\/p>\n<p>Et la beaut\u00e9 du truc, c\u2019est que tout le trafic malveillant qui sort de la VM passe par la pile r\u00e9seau de Windows gr\u00e2ce au NAT d\u2019Hyper-V. Du coup, pour l\u2019antivirus, tout a l\u2019air de venir de processus Windows parfaitement l\u00e9gitimes.<\/p>\n<p>C\u2019est bien jou\u00e9 non ?<\/p>\n<p>\u00c0 l\u2019int\u00e9rieur de cette VM Alpine, les hackers ont install\u00e9 2 malwares custom : <strong>CurlyShell<\/strong> et <strong>CurlCat<\/strong>. Le premier c\u2019est un reverse shell qui communique en HTTPS pour ex\u00e9cuter des commandes \u00e0 distance. Et le second, c\u2019est un proxy SSH invers\u00e9 qui encapsule le trafic SSH dans des requ\u00eates HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des donn\u00e9es re\u00e7ues.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/curly-comrades-hyper-v-malware-matryoshka\/curly-comrades-hyper-v-malware-matryoshka-1.webp\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Les chercheurs de Bitdefender, en collaboration avec le CERT g\u00e9orgien, ont document\u00e9 cette campagne qui cible principalement la G\u00e9orgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et \u00e9nerg\u00e9tiques\u2026 Bref, les infrastructures critiques, comme d\u2019habitude.<\/p>\n<p>Une fois infiltr\u00e9s, les hackers d\u00e9sactivent alors l\u2019interface de gestion d\u2019Hyper-V pour r\u00e9duire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d\u2019Hyper-V et ajoutent m\u00eame des mappages domaine-IP personnalis\u00e9s. Et pour couronner le tout, ils d\u00e9ploient des scripts PowerShell pour l\u2019injection de tickets Kerberos et la persistance via des comptes locaux.<\/p>\n<p>Et les EDR traditionnels, qui se focalisent sur l\u2019analyse des processus au niveau de l\u2019h\u00f4te, ne peuvent pas d\u00e9tecter ce qui se passe \u00e0 l\u2019int\u00e9rieur de la VM. En fait pour chopper ce genre de menace, il faut des capacit\u00e9s d\u2019inspection r\u00e9seau avanc\u00e9es\u2026 Autant vous dire que la plupart des bo\u00eetes n\u2019en sont pas \u00e9quip\u00e9es\u2026<\/p>\n<p>Pour lutter contre \u00e7a, Bitdefender recommande de ne pas miser sur une seule solution de s\u00e9curit\u00e9, mais d\u2019en empiler plusieurs. D\u2019abord mettre en place une protection du r\u00e9seau pour bloquer les attaques avant qu\u2019elles n\u2019atteignent les ordinateurs. Y ajouter un syst\u00e8me de d\u00e9tection avanc\u00e9 qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de r\u00e9duction des risques en fermant tous les services Windows dont on ne se sert pas.<\/p>\n<p>H\u00e9 oui, si Hyper-V n\u2019est pas activ\u00e9 d\u2019origine sur les syst\u00e8me, c\u2019est bien parce que \u00e7a repr\u00e9sente un risque suppl\u00e9mentaire, donc si vous ne vous en servez pas, d\u00e9sactivez le.<\/p>\n<p>\n<a href=\"https:\/\/businessinsights.bitdefender.com\/curly-comrades-evasion-persistence-hidden-hyper-v-virtual-machines\">Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d\u2019imagination quand il s\u2019agit de contourner les antivirus\u2026 Mais alors l\u00e0, le groupe Curly COMrades vient de sortir un truc qui d\u00e9boite du genou de gnome\u2026 Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cach\u00e9es dans des Windows. Oui, des russes qui cr\u00e9ent de v\u00e9ritables poup\u00e9es russes num\u00e9rique\u2026 qui aurait pu pr\u00e9voir ^^ ? Et c\u2019est vicieux vous allez voir\u2026 les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y d\u00e9ploient une VM Alpine Linux ultra-minimaliste. 120 Mo d\u2019espace disque et 256 Mo de RAM\u2026 C\u2019est tellement l\u00e9ger que \u00e7a passe compl\u00e8tement sous les radars des EDR classiques. Et la beaut\u00e9 du truc, c\u2019est que tout le trafic malveillant qui sort de la VM passe par la pile r\u00e9seau de Windows gr\u00e2ce au NAT d\u2019Hyper-V. Du coup, pour l\u2019antivirus, tout a l\u2019air de venir de processus Windows parfaitement l\u00e9gitimes. C\u2019est bien jou\u00e9 non ? \u00c0 l\u2019int\u00e9rieur de cette VM Alpine, les hackers ont install\u00e9 2 malwares custom : CurlyShell et CurlCat. Le premier c\u2019est un reverse shell qui communique en HTTPS pour ex\u00e9cuter des commandes \u00e0 distance. Et le second, c\u2019est un proxy SSH invers\u00e9 qui encapsule le trafic SSH dans des requ\u00eates HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des donn\u00e9es re\u00e7ues. Les chercheurs de Bitdefender, en collaboration avec le CERT g\u00e9orgien, ont document\u00e9 cette campagne qui cible principalement la G\u00e9orgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et \u00e9nerg\u00e9tiques\u2026 Bref, les infrastructures critiques, comme d\u2019habitude. Une fois infiltr\u00e9s, les hackers d\u00e9sactivent alors l\u2019interface de gestion d\u2019Hyper-V pour r\u00e9duire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d\u2019Hyper-V et ajoutent m\u00eame des mappages domaine-IP personnalis\u00e9s. Et pour couronner le tout, ils d\u00e9ploient des scripts PowerShell pour l\u2019injection de tickets Kerberos et la persistance via des comptes locaux. Et les EDR traditionnels, qui se focalisent sur l\u2019analyse des processus au niveau de l\u2019h\u00f4te, ne peuvent pas d\u00e9tecter ce qui se passe \u00e0 l\u2019int\u00e9rieur de la VM. En fait pour chopper ce genre de menace, il faut des capacit\u00e9s d\u2019inspection r\u00e9seau avanc\u00e9es\u2026 Autant vous dire que la plupart des bo\u00eetes n\u2019en sont pas \u00e9quip\u00e9es\u2026 Pour lutter contre \u00e7a, Bitdefender recommande de ne pas miser sur une seule solution de s\u00e9curit\u00e9, mais d\u2019en empiler plusieurs. D\u2019abord mettre en place une protection du r\u00e9seau pour bloquer les attaques avant qu\u2019elles n\u2019atteignent les ordinateurs. Y ajouter un syst\u00e8me de d\u00e9tection avanc\u00e9 qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de r\u00e9duction des risques en fermant tous les services Windows dont on ne se sert pas. H\u00e9 oui, si Hyper-V n\u2019est pas activ\u00e9 d\u2019origine sur les syst\u00e8me, c\u2019est bien parce que \u00e7a repr\u00e9sente un risque suppl\u00e9mentaire, donc si vous ne vous en servez pas, d\u00e9sactivez le. Source<\/p>\n","protected":false},"author":1,"featured_media":1548,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1547","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1547","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1547"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1547\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1548"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}