Bitdefender Labs publie une recherche approfondie sur « Curly COMrades », un cluster d’activité malveillante suivi depuis mi‑2024, opérant au bénéfice d’intérêts russes. Les cibles confirmées incluent des entités judiciaires et gouvernementales en Géorgie ainsi qu’une entreprise de distribution d’énergie en Moldavie. 🎯

Le groupe vise l’accès persistant et le vol d’identifiants (NTDS, LSASS), s’appuie sur des proxies (Resocks, SSH, Stunnel) et exécute des commandes distantes (probablement via Atexec/Impacket). Il dissimule son C2 et l’exfiltration de données en relayant le trafic via des sites légitimes compromis, compliquant détection et attribution. 🕵️‍♂️🌐

Un nouvel implant .NET, MucorAgent, assure la persistance par hijacking de CLSID lié aux tâches NGEN (.NET), exécute des scripts PowerShell chiffrés AES en mémoire avec bypass AMSI, et exfiltre les sorties via curl.exe déguisées en fichiers PNG. L’implant fonctionne en trois étapes, charge des payloads chiffrés (index.png/icon.png), et utilise des tâches planifiées additionnelles (ex. \Mozilla\Browser.VisualUpdate) pour compenser l’imprévisibilité de NGEN. 🧪🧷

Les techniques d’acquisition d’identifiants incluent Mimikatz, DCSync, extraction de NTDS.dit via VSS, et dump LSASS (comsvcs.dll, procdump, outils dérivés de TrickDump et loaders personnalisés). Des données de navigateurs (Chrome/Firefox) sont aussi ciblées. La découverte s’appuie sur des LOLBins et cmdlets AD ; la mise en scène des données se fait dans C:\Users\Public\Documents, archivées avec RAR puis exfiltrées par curl vers des sites compromis (script PowerShell run.ps1). Le groupe déploie également l’outil RMM Remote Utilities (RuRat) pour un accès durable. 🔐📦

IOCs et TTPs principaux 🚩

  • Indicateurs réseau (proxies/C2): 91.107.174.190, 96.30.124.103, 194.87.31.171, 75.127.13.136, 207.180.194.109, 45.43.91.10
  • Binaries/artefacts notables: c:\ProgramData\Microsoft\DRM\Server\drm.exe (Resocks), c:\Program Files (x86)\Google\GoogleUpdate.exe (MD5: dd253f7403644cfa09d8e42a7120180d, relai HTTPS type netcat), c:\ProgramData\Intel\Logs\Data\TaskLauncher.dll (MucorAgent), c:\ProgramData\hp.exe (MD5: 44a57a7c388af4d96771ab23e85b7f1e, SOCKS5), Results.exe (MD5: 5ed6b17103b231e9ff2abda1094083e3)
  • Tâches/Services de persistance: \Microsoft\Windows\UpdateOrchestrator\Check_AC, \Mozilla\Browser.VisualUpdate, \Microsoft\Windows\DeviceDirectoryClient\RegisterDevicesUSB; services: MsEdgeSvc, JavaSvc, OracleJavaSvc
  • Chemins de staging/payloads: C:\Users\Public\Documents; C:\Users<user>\AppData\Roaming\Microsoft\Windows\Templates\Curl(index.png|icon.png|image)
  • TTPs: Proxy chaining (Resocks, SSH + Stunnel), COM/CLSID hijacking (NGEN), AMSI bypass, LOLBins (comsvcs.dll, schtasks, reg, curl), Credential dumping (LSASS, NTDS, DCSync), Exfiltration via curl vers sites compromis, RMM abuse (RuRat), **C2 via sites WordPress/PHP compromis) 🔄

Il s’agit d’une publication technique visant à documenter une nouvelle menace APT pro‑russe, ses implants, son infrastructure et ses IOCs/TTPs, afin de soutenir la détection et l’attribution.

🔗 Source originale : https://businessinsights.bitdefender.com/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds