Camaradas Curly APT

Um grupo de ameaças cibernéticas até então não documentado, denominado Curly COMrades, foi observado visando entidades de alto perfil na Geórgia e na Moldávia. Esta campanha parece estar voltada para a infiltração e coleta de informações de longo prazo em redes alvo. As atividades do grupo revelam uma abordagem calculada, persistente e furtiva, alinhada aos interesses geopolíticos da Rússia.

Metas de alto valor e atividade inicial

Desde meados de 2024, o grupo tem se concentrado em órgãos judiciais e governamentais na Geórgia e em uma empresa de distribuição de energia na Moldávia. A análise dos artefatos de ataque mostra que a operação começou antes do que se pensava inicialmente. O primeiro uso confirmado de seu backdoor personalizado, MucorAgent, data de novembro de 2023, embora a atividade provavelmente tenha começado antes disso.

Metas e Táticas Estratégicas

O objetivo final da Curly COMrades é o acesso prolongado à rede, permitindo reconhecimento, roubo de credenciais e movimentação lateral mais profunda. Eles combinam técnicas de ataque padrão com implementações personalizadas para se integrar às operações legítimas do sistema. Sua campanha é marcada por:

• Tentativas e erros repetidos para refinar o acesso
• Métodos redundantes para garantir resiliência
• Etapas de configuração incrementais para evitar detecção

Roubo de credenciais no núcleo

Os invasores tentaram repetidamente extrair arquivos do banco de dados NTDS de controladores de domínio, visando hashes de senhas e dados de autenticação. Eles também tentaram extrair memória LSASS de máquinas selecionadas, com o objetivo de recuperar credenciais de usuários ativos, incluindo possíveis senhas em texto simples.

Abuso de ferramentas legítimas para furtividade

Uma característica marcante das operações da Curly COMrades é o uso de softwares e serviços confiáveis para mascarar atividades maliciosas. Ferramentas notáveis incluem:

Resocks, SOCKS5, SSH e Stunnel – criando múltiplos túneis de acesso em redes internas e permitindo a execução remota de comandos.

Sites legítimos, mas comprometidos – agindo como retransmissores secretos para tráfego C2 e exfiltração de dados, misturando-se com fluxos normais de rede.

Utilitários adicionais como armas:

• CurlCat – transferência bidirecional de dados via HTTPS por meio de sites comprometidos

• RuRat – uma ferramenta RMM legítima usada para controle persistente

• Mimikatz – coleta de credenciais de memória

• Comandos comuns do Windows (netstat, tasklist, systeminfo, ipconfig, ping) para reconhecimento

• Scripts do PowerShell com curl para exfiltração furtiva de dados

MucorAgent: Uma arma de persistência personalizada

No centro da campanha está o MucorAgent, um backdoor .NET personalizado que sequestra Identificadores de Classe COM (CLSIDs) vinculados ao Native Image Generator (Ngen), um componente integrado do .NET Framework.

O Ngen, embora projetado para pré-compilar assemblies, pode servir como um mecanismo de persistência oculto. Os invasores exploram uma tarefa agendada desabilitada vinculada ao Ngen, que ocasionalmente é acionada de forma imprevisível durante períodos de inatividade ou implantações de aplicativos, permitindo que eles restaurem o acesso em nível de SISTEMA sem disparar alarmes.

O implante MucorAgent opera em três etapas: executa scripts criptografados do PowerShell e envia os resultados para servidores controlados pelo invasor. Os payloads são carregados na memória e excluídos imediatamente, deixando rastros forenses mínimos.

Metódico, adaptativo e furtivo em primeiro lugar

Os Curly COMrades demonstram preferência pela discrição em vez da novidade, recorrendo a ferramentas públicas, utilitários de código aberto e LOLBins em vez de explorar vulnerabilidades de dia zero. Suas operações enfatizam a persistência e a adaptabilidade de baixo ruído, utilizando ferramentas comuns e personalizadas para manter o controle a longo prazo sem levantar suspeitas.