Peretas Rusia Sembunyikan Malware di Mesin Virtual Linux Menggunakan Hyper-V
Kelompok peretas asal Rusia bernama Curly COMrades diketahui mengeksploitasi teknologi Microsoft Hyper-V di sistem Windows untuk menyembunyikan malware di dalam mesin virtual (VM) Linux berbasis Alpine, sehingga bisa menghindari deteksi oleh solusi keamanan EDR (Endpoint Detection and Response).
🧠 Siapa Curly COMrades?
Curly COMrades merupakan kelompok spionase siber yang diyakini aktif sejak pertengahan 2024 dan memiliki keterkaitan dengan kepentingan geopolitik Rusia.
Sebelumnya, Bitdefender dan CERT Georgia mengungkap aktivitas mereka terhadap lembaga pemerintah dan peradilan di Georgia, serta perusahaan energi di Moldova.
💻 Teknik Baru: Malware di Dalam VM Tersembunyi
Dalam serangan terbaru, para peneliti menemukan bahwa setelah mendapatkan akses jarak jauh ke dua mesin korban pada Juli 2025, pelaku menjalankan perintah untuk:
- Mengaktifkan Hyper-V
- Menonaktifkan antarmuka manajemen Hyper-V agar tidak terlihat
Setelah itu, mereka membuat VM tersembunyi berbasis Alpine Linux dengan ukuran sangat ringan (120 MB penyimpanan, 256 MB RAM) untuk menjalankan dua alat buatan mereka:
- 🐚 CurlyShell — Reverse shell untuk eksekusi perintah jarak jauh
- 🧩 CurlCat — Reverse proxy untuk komunikasi rahasia dengan server perintah (Command & Control / C2)
🕵️ Cara Serangan Berjalan
Menurut laporan Bitdefender:
“Penyerang mengaktifkan peran Hyper-V di sistem korban untuk men-deploy VM Alpine Linux minimalis yang menjalankan CurlyShell dan CurlCat di lingkungan tersembunyi.”
VM ini diberi nama “WSL”, meniru Windows Subsystem for Linux, agar terlihat seperti komponen sistem biasa.
VM dikonfigurasi menggunakan Default Switch adapter, sehingga semua lalu lintas jaringan muncul seolah berasal dari alamat IP host utama — membuatnya nyaris tak terdeteksi oleh EDR tradisional.
⚙️ Komponen Malware
Kedua implant buatan Curly COMrades berupa file ELF berbasis libcurl:
- CurlyShell:
- Menjalankan perintah dari server C2 melalui HTTPS
- Bertahan melalui cron job
- Beroperasi dalam mode headless tanpa antarmuka
- CurlCat:
- Bertugas membuat SOCKS proxy tersembunyi
- Mengubah lalu lintas SSH menjadi permintaan HTTPS untuk menyamarkan komunikasi
- Memungkinkan pivoting jaringan antar host
🔐 Langkah Persistensi dan Lateral Movement
Selain itu, Bitdefender menemukan dua skrip PowerShell tambahan yang digunakan pelaku:
- Injeksi tiket Kerberos ke LSASS untuk autentikasi jarak jauh dan eksekusi perintah antar sistem.
- Distribusi akun lokal baru melalui Group Policy, yang mempermudah penyebaran ke perangkat lain di domain yang sama.
Payload terenkripsi, penggunaan PowerShell, dan pemanfaatan Hyper-V membuat jejak forensik sangat minim, menunjukkan tingkat keahlian tinggi dan fokus pada operasi rahasia (operational security).
🧩 Cara Mitigasi dan Deteksi
Bitdefender menyarankan organisasi untuk memantau aktivitas tidak biasa berikut:
- Aktivasi Hyper-V di sistem yang tidak semestinya
- Akses mencurigakan ke proses LSASS
- Eksekusi skrip PowerShell via Group Policy yang membuat akun lokal baru atau mereset kata sandi
Selain itu, disarankan menerapkan:
- Pemantauan multi-layered security (termasuk inspeksi jaringan internal)
- Pembatasan hak administratif
- Audit rutin konfigurasi Hyper-V dan virtual machine tersembunyi
🔎 Kesimpulan
Eksploitasi Hyper-V oleh Curly COMrades menunjukkan tren baru dalam taktik spionase digital — menyembunyikan malware di dalam VM Linux ringan di host Windows, sehingga mampu menghindari deteksi endpoint tradisional dan mempertahankan kontrol jangka panjang secara diam-diam.
Sumber: Bitdefender
