Badacze bezpieczeństwa ujawnili szczegóły dotąd nieudokumentowanego, rozbudowanego frameworka złośliwego oprogramowania o kryptonimie VoidLink, zaprojektowanego specjalnie do długotrwałego i ukrytego dostępu do środowisk chmurowych opartych na Linuksie.
Według raportu Check Point Research opublikowanego dziś, VoidLink to „cloud-native” narzędzie składające się z zestawu własnych loaderów, implantów, rootkitów i modułowych wtyczek. Dzięki takiej budowie operatorzy mogą w czasie rzeczywistym rozszerzać lub modyfikować funkcjonalność, a także zmieniać cele działania w zależności od potrzeby. Framework został po raz pierwszy wykryty w grudniu 2025 r.
Istotą projektu jest wysoka modułowość: architektura opiera się na niestandardowym interfejsie Plugin API, który — jak zauważa Check Point — wydaje się czerpać inspirację z podejścia Beacon Object Files (BOF) znanego z Cobalt Strike. Ten interfejs jest wykorzystywany w ponad 30 modułach dostępnych domyślnie, a w sumie VoidLink obsługuje 37 wtyczek pozwalających rozbudować jego możliwości zgodnie z potrzebami atakujących.
Znaczenie tej kampanii wykracza poza pojedyncze zakażenia: badacze podkreślają, że przeniesienie uwagi aktorów zagrożenia z systemów Windows na Linuksa wynika z roli Linuksa jako fundamentu usług chmurowych i krytycznych operacji. Framework jest aktywnie utrzymywany i rozwijany, a jego wykorzystanie przypisuje się grupom powiązanym z Chinami.
Technicznie VoidLink to implant „cloud‑first” napisany w języku Zig. Potrafi rozpoznać główne środowiska chmurowe — Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba i Tencent — oraz dostosować zachowanie, gdy działa wewnątrz kontenera Docker lub poda Kubernetes. Potrafi też zbierać poświadczenia powiązane z chmurą oraz z popularnych systemów kontroli wersji, takich jak Git. To wskazuje, że jednym z głównych celów są deweloperzy i zasoby wykorzystywane w łańcuchach dostaw oprogramowania, co z kolei stwarza ryzyko kradzieży danych lub przeprowadzenia ataków na łańcuch dostaw.
W praktyce VoidLink oferuje szeroki zestaw funkcji technicznych, w tym:
- funkcje typu rootkit wykorzystujące mechanizmy LD_PRELOAD, loadable kernel module (LKM) oraz eBPF do ukrywania procesów w zależności od wersji jądra Linuksa,
- system wtyczek działający w pamięci, pozwalający na dynamiczne rozszerzanie funkcjonalności,
- wsparcie dla różnych kanałów komunikacji z serwerami dowodzenia i kontroli (C2), takich jak HTTP/HTTPS, WebSocket, ICMP oraz tunelowanie DNS,
- możliwość utworzenia sieci typu peer‑to‑peer (P2P) lub siatkowej między zainfekowanymi hostami, co ułatwia rozprzestrzenianie i odporność infrastruktury atakującego.
Atakujący dysponują również internetowym panelem sterowania z interfejsem w języku chińskim, który umożliwia zdalne zarządzanie implantem: tworzenie spersonalizowanych wersji „na żądanie”, zarządzanie plikami, zadaniami i wtyczkami oraz realizację całego cyklu ataku — od rozpoznania i utrwalenia dostępu po boczny ruch w sieci i zacieranie śladów.
Funkcjonalność zestawu obejmuje 37 wtyczek pokrywających obszary anty‑forenziki, rozpoznania, działania w kontenerach, eskalacji uprawnień i ruchu bocznego, co razem czyni z VoidLink pełnoprawny framework post‑exploitation. Najważniejsze kategorie wtyczek to:
- anty‑forenzika — usuwanie lub edycja logów i historii powłoki na podstawie słów kluczowych oraz manipulacja czasem plików (timestomping) utrudniająca analizę,
- moduły chmurowe — wykrywanie Kubernetes i Docker, eskalacja uprawnień w kontenerach, ucieczki z kontenera oraz testy pod kątem błędnych konfiguracji,
- zbieranie poświadczeń — pozyskiwanie kluczy SSH, danych dostępu do Git, lokalnych haseł, danych przeglądarki i ciasteczek, tokenów oraz kluczy API,
- ruch boczny — rozprzestrzenianie się za pomocą robaka opartego na SSH,
- utrwalanie dostępu — mechanizmy oparte na nadużyciu dynamicznego linkera, zadaniach cron i usługach systemowych,
- rozpoznanie — zbieranie szczegółowych informacji o systemie i środowisku.
Check Point określił VoidLink jako „imponujący” i „znacznie bardziej zaawansowany niż typowe złośliwe oprogramowanie dla Linuksa”. W centrum systemu znajduje się komponent‑koordynator, który obsługuje komunikację z C2 i egzekucję zadań.
Framework wyposażono również w rozbudowane zabezpieczenia przed analizą: wykrywa debugery i narzędzia monitorujące, potrafi się samodzielnie usuwać w przypadku wykrycia manipulacji, a także stosuje mechanizmy samomodyfikacji kodu — odszyfrowuje chronione regiony kodu w pamięci tylko w czasie wykonania i ponownie je szyfruje, gdy nie są używane, co pozwala omijać skanery pamięci w czasie działania.
Dodatkowo VoidLink przeprowadza inwentaryzację zainstalowanych produktów zabezpieczających i wdrożeń hardeningu na zainfekowanym hoście, wylicza „wynik ryzyka” i na jego podstawie dobiera strategię unikania wykrycia. W praktyce może to oznaczać np. spowolnienie skanów portów lub zachowanie ostrożniejsze w środowiskach ocenionych jako wysokiego ryzyka.
Badacze podkreślają wysoki poziom umiejętności twórców: autorzy wykazują biegłość w wielu językach programowania, w tym Go, Zig i C, oraz w nowoczesnych frameworkach takich jak React. Dzięki dogłębnej znajomości wewnętrznych mechanizmów systemów operacyjnych stworzyli zaawansowane narzędzie zdolne do adaptacyjnego działania w chmurze i ekosystemach kontenerowych.
W podsumowaniu Check Point zauważa, że VoidLink dąży do jak największej automatyzacji unikania wykrycia — profiluje środowisko i samoistnie wybiera najodpowiedniejsze strategie działania. W połączeniu z technikami działającymi w trybie jądra systemu i rozległym ekosystemem wtyczek, framework umożliwia operatorom poruszanie się po środowiskach chmurowych i kontenerowych z wysokim poziomem ukrycia.
