Hackers rusos utilizan Hyper-V para ocultar malware de Linux en sistemas Windows

Hackers rusos utilizan Hyper-V para ocultar malware de Linux en sistemas Windows

Publicado: 07 Enero 2026 | Escrito por Javier Orovengua | Correo electrónico | Visto: 189

En un giro innovador de las tácticas de persistencia, un grupo de amenazas vinculado a los intereses geopolíticos de Rusia ha comenzado a utilizar la tecnología de virtualización nativa de Microsoft, Hyper-V, para desplegar entornos Linux ocultos dentro de sistemas Windows comprometidos.

Esta técnica, descubierta recientemente por investigadores de seguridad de Bitdefender en colaboración con el CERT de Georgia, permite a los atacantes operar de forma casi invisible ante las soluciones de seguridad tradicionales.

El método: Una máquina virtual como escondite

El grupo, identificado como "Curly COMrades", aprovecha que Hyper-V es una característica integrada en Windows 10 y 11. Una vez que obtienen acceso inicial a un sistema, los atacantes siguen un proceso meticuloso para establecer su base de operaciones:

Activación silenciosa: Utilizan herramientas de línea de comandos (como DISM) para habilitar el rol de Hyper-V si no está activo, pero desactivan deliberadamente la interfaz gráfica de gestión para que el administrador del sistema no note cambios visuales.
Disfraz de archivo: Descargan un archivo comprimido que se hace pasar por un archivo de vídeo, pero que en realidad contiene el disco virtual y la configuración de una instancia de Alpine Linux extremadamente ligera.
Engaño de nombre: La máquina virtual se importa con el nombre "WSL". Esto es una táctica de ingeniería social técnica, ya que intenta imitar al legítimo Windows Subsystem for Linux, una herramienta común y confiable para desarrolladores.

Malware "invisible" a los ojos del EDR

La principal ventaja de este método es la evasión. Al ejecutar el malware dentro de una máquina virtual independiente, la actividad maliciosa queda aislada del sistema operativo anfitrión.

La mayoría de las soluciones de detección y respuesta de endpoints (EDR) monitorizan los procesos que corren directamente sobre Windows. Sin embargo, lo que sucede dentro de una máquina virtual de Hyper-V es a menudo un "punto ciego" para estas herramientas. Además, la máquina virtual es minimalista: solo consume unos 120 MB de disco y 256 MB de RAM, lo que evita alertas por consumo inusual de recursos.

Herramientas personalizadas: CurlyShell y CurlCat

Dentro de este entorno Linux, los atacantes despliegan dos herramientas clave escritas en C++:

CurlyShell: Una shell inversa persistente que permite la ejecución de comandos remotos.
CurlCat: Un túnel de red que oculta el tráfico malicioso, haciéndolo pasar por tráfico HTTPS legítimo hacia servidores de comando y control (C2).

Debido a la configuración de red de Hyper-V, todo el tráfico saliente de la máquina virtual parece provenir de la dirección IP del host de Windows, lo que dificulta enormemente la detección a nivel de red perimetral.

¿Cómo protegerse?

Los expertos sugieren que las organizaciones deben ir más allá de la monitorización de procesos estándar:

Auditar Hyper-V: Supervisar si el rol de Hyper-V se activa en equipos donde no es necesario.
Revisar máquinas virtuales: Utilizar comandos de PowerShell (Get-VM) para buscar instancias sospechosas o con nombres engañosos.
Inspección de red basada en host: Implementar herramientas que puedan analizar el tráfico que sale de las interfaces virtuales antes de que se mezcle con el tráfico general del sistema.

Este caso demuestra cómo los grupos APT (Amenazas Persistentes Avanzadas) continúan evolucionando, utilizando herramientas legítimas del sistema para crear capas de abstracción que dejan a las defensas tradicionales en la oscuridad.