Un nuovo attore di minacce, denominato Curly COMrades, è stato recentemente individuato mentre conduceva una campagna di cyber spionaggio rivolta a enti governativi, giudiziari e aziende energetiche in Georgia e Moldavia. Secondo quanto riportato da Bitdefender, le attività di Curly COMrades sono caratterizzate da un approccio metodico, volto a ottenere un accesso prolungato ai sistemi bersaglio ed esfiltrare informazioni sensibili, con particolare attenzione al furto di credenziali.
Il gruppo si distingue per l’uso massiccio dell’utilità curl per le comunicazioni di comando e controllo (C2) e il trasferimento dati, nonché per la compromissione di oggetti COM di Windows. Gli attaccanti hanno tentato più volte di estrarre il database NTDS dai controller di dominio, che rappresenta il principale archivio delle password degli utenti in una rete Windows, e di acquisire la memoria LSASS per recuperare credenziali attive, inclusi potenzialmente password in chiaro.
L’inizio delle operazioni risale almeno a novembre 2023, sebbene l’attività sia stata monitorata costantemente dal 2024. Curly COMrades opera in linea con obiettivi geopolitici russi, puntando a mantenere una presenza persistente nelle reti compromesse per condurre attività di ricognizione e furto di dati tramite strumenti personalizzati.
Backdoor MucorAgent e persistenza
Un elemento tecnico di rilievo è l’utilizzo di un backdoor chiamato MucorAgent, che sfrutta la tecnica del COM hijacking su Ngen (Native Image Generator) del .NET Framework. Attraverso la manipolazione di specifici CLSID, MucorAgent garantisce la persistenza sfruttando task di Windows apparentemente disabilitati ma che vengono eseguiti dal sistema in maniera imprevedibile, consentendo così agli attaccanti di riottenere accesso anche dopo azioni di bonifica.
Strumenti legittimi e tecniche di evasione
Il gruppo fa largo uso di strumenti legittimi come Resocks, SSH e Stunnel per creare tunnel sicuri e mantenere canali di controllo interni. Inoltre, utilizza proxy SOCKS5 e si avvale di siti web compromessi come relay per il traffico C2 e l’esfiltrazione dei dati, rendendo più difficile la rilevazione delle attività malevole.
Tra gli strumenti impiegati figurano anche CurlCat per il trasferimento dati bidirezionale, RuRat per accesso remoto persistente e Mimikatz per l’estrazione di credenziali dalla memoria. Vengono inoltre utilizzati script PowerShell e comandi nativi di Windows per la fase di discovery all’interno delle infrastrutture colpite.
Questa campagna dimostra come Curly COMrades si affidi principalmente a strumenti open source e legittimi, privilegiando la furtività e la flessibilità rispetto allo sfruttamento di vulnerabilità zero-day, rendendo la difesa e la rilevazione ancora più complesse.
