A kiberbiztonság világában ritkán látunk olyan leleményes és egyben nyugtalanító megoldásokat, mint amilyet a Bitdefender kutatói fedeztek fel 2025 közepén. Egy orosz hátterű hackercsoport, amely a „Curly COMrades” nevet kapta, képes volt arra, hogy egy teljes értékű Linux-virtuális gépet futtasson Windows rendszeren belül, láthatatlanul, és ezáltal elkerülje a legtöbb védelmi rendszer figyelmét.

Ez az újszerű támadási technika nem csupán egy apró innováció a hekkerek eszköztárában: ez egy új paradigmát jelent a rejtett, perzisztens kiberfenyegetések terén.

---

Hogyan működik a támadás?

A Curly COMrades rendszeres Windows 10 gépeket vett célba, kihasználva a Microsoft Hyper-V nevű virtualizációs funkcióját. A Hyper-V egy „type-1” hipervizor, amely a számítógép hardverére közvetlenül telepítve képes izolált virtuális gépeket futtatni – legálisan, biztonságos környezetek létrehozására.

Ezt a legitim funkciót azonban a támadók szokatlan módon fordították a biztonság ellen. Ahelyett, hogy külön operációs rendszereket vagy fejlesztői környezeteket futtattak volna, egy minimális Alpine Linux-alapú rendszerrel dolgoztak, amely mindössze 120 MB tárhelyet és 256 MB RAM-ot igényelt. Ez a szerény méret lehetővé tette, hogy a gép gyorsan elinduljon, miközben szinte láthatatlan maradt a háttérben futó Windows számára.

A hackerek ezután ezt a Linux gépet használták fel rosszindulatú eszköztáruk futtatására, amely teljesen elkülönült a Windows operációs rendszertől és annak biztonsági ellenőrzéseitől.

---

Miért volt ez ennyire hatékony?

A Bitdefender szakértője, Victor Vrabie szerint az egyik legnagyobb előnye ennek a módszernek, hogy az antivírusok és EDR (Endpoint Detection and Response) rendszerek nem látták a tevékenységet, mivel a kártevő semmilyen módon nem futott közvetlenül Windows alatt.

Amikor a támadók a Linux virtuális gépen belül hajtották végre a kódokat, ezek egy olyan izolált környezetben működtek, amelyet a legtöbb Windows-védelmi megoldás nem figyel. Ennek eredményeként a hagyományos viselkedéselemzés, folyamatfigyelés, sőt a fájlrendszer-szkennelés is haszontalanná vált.

---

Egy rejtett Linux a Windows mélyén

A Bitdefender jelentése szerint a támadók előbb bekapcsolták a Hyper-V-funkciót, majd letiltották annak kezelőfelületét, hogy a felhasználók ne vegyék észre a változást. Ezek után a háttérben telepítették és elindították a Linux-virtuális gépet, amely a Windows-szal párhuzamosan futott.

Ezt a gépet kifejezetten úgy konfigurálták, hogy a Windows gazdagép IP-címét használja, így a hálózati forgalom is teljesen normálisnak tűnt.

A támadások során két egyedi eszközt használtak:

• CurlyShell: egy állandó, rejtett visszacsatlakozást biztosító „reverse shell” megoldás.

• CurlCat: egy fejlett alagútkezelő („tunneling”) és proxy rendszer, amely a hálózati forgalmat irányította a C2 (Command & Control) kiszolgálókhoz.

A Linux-gép közvetlenül kommunikált a vezérlőszerverrel (C2-infrastruktúra), amit szintén gondosan elrejtettek. A hálózati aktivitás így olyan, mintha a Windows gép maga kezdeményezte volna a kapcsolatot, nem pedig egy rosszindulatú, idegen kód.

---

A támadás technikai részletei

A vizsgálat megállapította, hogy a hackerek könnyű, minimalista környezetet hoztak létre, amelyben több jól ismert proxy- és alagútkezelő program is helyet kapott, például:

• Resocks

• Rsockstun

• Ligolo-ng

• CCProxy

• Stunnel

• SSH-alapú csatornák

Ezek az eszközök biztosították, hogy a Linux-VM rejtett kommunikációs pontként szolgáljon, amelyen keresztül a támadók hosszú távon hozzáférhettek a hálózathoz. A Bitdefender szerint a csoport kifejezetten arra törekedett, hogy folyamatos visszacsatlakozási (reverse proxy) lehetőséget tartson fenn, még akkor is, ha az egyik eszköz lebukott.

---

Perzisztencia és PowerShell-trükkök

A Curly COMrades által alkalmazott módszerek egyike sem volt véletlen. A támadók PowerShell-szkripteket is bevetettek, hogy mélyebb hozzáférést szerezzenek a Windows rendszeren belül. Képesek voltak:

• belépési (Kerberos) hitelesítő jegyeket injektálni,

• távoli parancsokat futtatni,

• fiókokat létrehozni vagy visszaállítani.

Ez a kombináció tette lehetővé számukra, hogy hosszú távon megőrizzék a hozzáférést a rendszerhez, még akkor is, ha a gazdagép újraindult vagy részben frissült.

---

Hogyan kerülhetjük el az ilyen támadásokat?

A Bitdefender és a grúz nemzeti CERT (Computer Emergency Response Team) együttes vizsgálata azt mutatta, hogy az izolált környezetek rendszerszintű ellenőrzése nélkül rendkívül nehéz észlelni az ilyen típusú támadásokat.

A szakértők a következőket javasolják a védekezéshez:

• rendszeres hálózati forgalom-ellenőrzés a kiszolgálói IP-címek és proxy kapcsolat irányában,

• Hyper-V és egyéb virtualizációs komponensek monitorozása a Windows eseménynaplóban,

• EDR-megoldások kombinálása hálózati (NDR) ellenőrzésekkel,

• gyanús outbound (kimenő) forgalom elemzése a tűzfalon keresztül.

Fontos megjegyezni, hogy az ilyen típusú támadások nem hagyományos vírusok, hanem komplex, többkomponensű kibereszközök, amelyeknek egyik célja, hogy a biztonsági megfigyelő rendszereket megkerüljék.

---

A fenyegetés globális jelentősége

Ez a felfedezés nemcsak egy új támadási forma az adathalász és ransomware típusú támadások sorában, hanem egy trend előfutára, amelyben a hekkerek a virtualizáció – a felhőtechnológia egyik alapeleme – segítségével hoznak létre rejtett támadási platformokat.

A Bitdefender kutatói szerint a jövőben várható, hogy még több csoport próbál hasonló hibrid (Windows–Linux) modelleket alkalmazni, kihasználva a host rendszerek közötti interoperabilitást. Ez különösen a vállalati környezetekben veszélyes, ahol a Hyper-V már alapértelmezett virtuális szolgáltatásként működik.

---

Milyen adatokat lophattak el?

A jelentések szerint a Curly COMrades célja adatlopás és hálózati hozzáférés fenntartása volt, nem az azonnali zsarolás. A támadások célpontjai változatosak voltak: kormányzati szervezetek, pénzügyi vállalatok és technológiai cégek.

A támadók főként proxy és alagútrendszereiket használták arra, hogy érzékeny adatokat titkosított csatornákon keresztül továbbítsanak.

A Bitdefender szerint a CurlCat-komponens képes volt adatforgalmat dinamikusan átirányítani a C2-szerverek felé, miközben a Windows-rendszerben semmilyen gyanús tevékenységet nem mutatott.

---

Mit tehetnek a rendszergazdák és felhasználók?

A védelem egyik kulcsa a többrétegű biztonsági architektúra:

• Külön verziófigyelés és naplózás minden rendszerkomponensre.

• Hálózati viselkedéselemzés (DNS, IP, portonkénti aktivitás).

• Virtuális gépek és konténerek monitorozása, még akkor is, ha „legális” Windows-komponensek indítják őket.

• A Hyper-V állapotának rendszeres vizsgálata, különösen, ha azt a felhasználók nem használják aktívan.

Ehhez társul az alkalmazotti tudatosság növelése, hiszen sok esetben a támadások social engineering eszközökkel kezdődnek, például adathalász e-mailekkel vagy megfertőzött mellékletekkel.

---

Összegzés: új frontvonal a kibervédelemben

A Curly COMrades támadása egyértelműen rámutat arra, hogy a virtualizációs technológiák már nemcsak a fejlesztők és rendszergazdák eszközei, hanem a kiberbűnözők fegyverei is lehetnek.

A Linux-virtuális gép Windows alá rejtése egy rendkívül hatékony módszer a biztonsági rendszerek megkerülésére, ami új kihívások elé állítja a világ minden biztonsági vállalatát.

Ez a felfedezés arra figyelmezteti a technológiai közösséget, hogy a jövő kiberháborúi nem a hagyományos rosszindulatú programok, hanem láthatatlan, rétegezett, több operációs rendszert felhasználó környezetek szintjén zajlanak majd.