Des hackers russes cachent des malwares dans des machines virtuelles Linux sur Windows : une nouvelle menace sophistiquée

Depuis juillet 2025, un groupe de hackers pro-russes, connu sous le nom de Curly COMrades, a mis en place une technique innovante qui bouleverse les schémas traditionnels de la cybersécurité. Leur stratégie repose sur l’utilisation de machines virtuelles (VM) Linux ultra-légères, dissimulées à l’intérieur de systèmes Windows compromis grâce à la technologie Hyper-V de Microsoft.

Un mode opératoire ingénieux

Après avoir obtenu un accès distant à des ordinateurs sous Windows 10, les attaquants activent Hyper-V tout en désactivant son interface de gestion afin de passer inaperçus auprès des outils de surveillance et des antivirus. Ils déploient ensuite une VM Alpine Linux minimaliste—occupant seulement 120 Mo d’espace disque et 256 Mo de mémoire—baptisée « WSL » pour ressembler au composant légitime Windows Subsystem for Linux.

À l’intérieur de cette VM cachée, deux outils malveillants écrits en C++ sont installés : CurlyShell, un shell distant persistant qui s’appuie sur des tâches planifiées pour maintenir l’accès, et CurlCat, un proxy inversé qui permet de faire transiter du trafic SSH via des requêtes HTTP.

Le trafic réseau malveillant transite alors via l’adresse IP de la machine hôte Windows, rendant les communications suspectes difficilement détectables par les systèmes classiques de surveillance réseau.

Des cibles stratégiques en Europe de l’Est

Selon les recherches menées par Bitdefender et le CERT géorgien, la campagne cible principalement des institutions gouvernementales et énergétiques en Géorgie ainsi qu’en Moldavie. Ces régions revêtent une importance particulière dans le contexte géopolitique russe et de ses velléités d’influence sur les anciens États soviétiques, notamment face aux efforts d’intégration européenne.

Pourquoi cette technique inquiète les spécialistes ?

L’isolation des malwares dans une VM permet aux attaquants de contourner efficacement les outils de détection sur l’hôte : la plupart des logiciels EDR (Endpoint Detection and Response) installés sur Windows ne voient pas ce qui s’exécute dans la VM Linux, réduisant fortement la visibilité des opérateurs de sécurité.

Cette tendance illustre l’évolution constante des tactiques de cyberespionnage. Les experts recommandent de surveiller toute activation inhabituelle de Hyper-V, d’utiliser des inspections réseau plus poussées en complément des antivirus classiques, et de considérer l’activation de fonctionnalités de virtualisation comme un événement potentiellement critique en production.

Comment se protéger ?

Surveiller l’activation de Hyper-V sur les postes de travail Windows.
Combiner protection réseau et endpoint pour détecter des comportements anormaux.
Renforcer la gestion des privilèges et limiter les accès nécessaires à la virtualisation.

Cette affaire démontre que l’ingéniosité des acteurs malveillants ne cesse de croître. La cybersécurité en 2025 impose une vigilance accrue et une adaptation permanente des outils et des méthodes de défense face à des adversaires toujours plus innovants.