Cybersecurity-onderzoekers hebben details onthuld van een voorheen ongedocumenteerd en feature-rijk malware-framework met de codenaam VoidLink dat speciaal is ontworpen voor langdurige, onopvallende toegang tot op Linux gebaseerde cloudomgevingen
Volgens een nieuw rapport van Check Point Research bestaat het cloud-native Linux-malwareframework uit een reeks aangepaste laders, implantaten, rootkits en modulaire plug-ins waarmee de operators de mogelijkheden ervan in de loop van de tijd kunnen uitbreiden of wijzigen, en kunnen draaien wanneer doelstellingen veranderen. Het werd voor het eerst ontdekt in december 2025.
“Het raamwerk omvat meerdere cloudgerichte mogelijkheden en modules, en is ontworpen om gedurende langere perioden betrouwbaar te functioneren in cloud- en containeromgevingen”, aldus het cybersecuritybedrijf in een vandaag gepubliceerde analyse. “De architectuur van VoidLink is uiterst flexibel en zeer modulair, gecentreerd rond een aangepaste plug-in-API die geïnspireerd lijkt te zijn op Cobalt Strike’s Beacon Object Files (BOF)-aanpak. Deze API wordt gebruikt in meer dan 30+ plug-in-modules die standaard beschikbaar zijn.”
De bevindingen weerspiegelen een verschuiving in de focus van bedreigingsactoren van Windows- naar Linux-systemen die naar voren zijn gekomen als de basis van clouddiensten en kritieke operaties. VoidLink wordt actief onderhouden en ontwikkeld en wordt beschouwd als het handwerk van aan China gelieerde dreigingsactoren.
De toolkit is een cloud-first implantaat geschreven in de programmeertaal Zig en kan grote cloudomgevingen detecteren, namelijk. Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba en Tencent, en zijn gedrag aanpassen als het herkent dat het in een Docker-container of een Kubernetes-pod draait. Het kan ook inloggegevens verzamelen die verband houden met cloudomgevingen en populaire broncodeversiecontrolesystemen zoals Git.
Het targeten van deze diensten is een indicatie dat VoidLink waarschijnlijk is ontworpen om zich op softwareontwikkelaars te richten, hetzij met de bedoeling gevoelige gegevens te stelen, hetzij de toegang te benutten om aanvallen op de toeleveringsketen uit te voeren.
Enkele van de andere mogelijkheden worden hieronder vermeld:
- Rootkit-achtige functies die gebruik maken van LD_PRELOAD, een laadbare kernelmodule (LKM) en eBPF om de processen te verbergen op basis van de Linux-kernelversie
- Een in-memory plug-insysteem voor het uitbreiden van de functionaliteit
- Ondersteuning voor gevarieerde command-and-control (C2)-kanalen, zoals HTTP/HTTPS, WebSocket, ICMP en DNS-tunneling
- Vorm een peer-to-peer (P2P) of mesh-achtig netwerk tussen gecompromitteerde hosts
Een Chinees webgebaseerd dashboard waarmee aanvallers het implantaat op afstand kunnen besturen, direct op maat gemaakte versies kunnen maken, bestanden, taken en plug-ins kunnen beheren en verschillende stadia van de aanvalscyclus kunnen uitvoeren, van verkenning en doorzettingsvermogen tot laterale bewegingen en verdedigingsontduiking door sporen van kwaadaardige activiteit te wissen.
VoidLink ondersteunt 37 plug-ins die anti-forensisch onderzoek, verkenning, containers, escalatie van privileges, laterale verplaatsing en andere omvatten, en transformeren het in een volwaardig post-exploitatieframework –
- Anti-forensisch onderzoek, om logs en shell-geschiedenis te wissen of te bewerken op basis van trefwoorden en tijdstomping van bestanden uit te voeren om analyse te belemmeren
- Cloud, om de ontdekking en escalatie van bevoegdheden van Kubernetes en Docker, ontsnappingen van containers en onderzoek naar verkeerde configuraties te vergemakkelijken
- Credential harvesting, om inloggegevens en geheimen te verzamelen, waaronder SSH-sleutels, git-referenties, lokaal wachtwoordmateriaal, browserreferenties en cookies, tokens en API-sleutels
- Zijwaartse beweging, om zich lateraal te verspreiden met behulp van een op SSH gebaseerde worm
- Persistentie, om persistentie te helpen bewerkstelligen via misbruik van dynamische linkers, cron-jobs en systeemservices
- Recon, om gedetailleerde systeem- en omgevingsinformatie te verzamelen
Check Point beschrijft het als “indrukwekkend” en “veel geavanceerder dan typische Linux-malware”, en zei dat VoidLink een kernorkestratorcomponent bevat die C2-communicatie en taakuitvoering afhandelt.
Het bevat ook een hele reeks anti-analysefuncties om detectie te omzeilen. Naast het markeren van verschillende debuggers en monitoringtools, kan het zichzelf verwijderen als er tekenen van geknoei worden gedetecteerd. Het beschikt ook over een zelfmodificerende codeoptie die beschermde codegebieden tijdens runtime kan decoderen en deze kan coderen wanneer deze niet in gebruik is, waardoor runtime-geheugenscanners worden omzeild.
Bovendien somt het malwareframework de geïnstalleerde beveiligingsproducten en verhardingsmaatregelen op de getroffen host op om een risicoscore te berekenen en over de hele linie tot een ontwijkingsstrategie te komen. Dit kan bijvoorbeeld inhouden dat poortscans worden vertraagd en dat er meer controle is in risicovolle omgevingen.
“De ontwikkelaars tonen een hoog niveau van technische expertise, met een sterke vaardigheid in meerdere programmeertalen, waaronder Go, Zig, C en moderne frameworks zoals React”, aldus Check Point. “Bovendien beschikt de aanvaller over diepgaande kennis van geavanceerde interne onderdelen van het besturingssysteem, waardoor de ontwikkeling van geavanceerde en complexe oplossingen mogelijk wordt gemaakt.”
“VoidLink streeft ernaar om ontduiking zoveel mogelijk te automatiseren, een omgeving te profileren en de meest geschikte strategie te kiezen om daarin te opereren. Aangevuld met kernelmodus-handel en een uitgebreid plug-in-ecosysteem, stelt VoidLink zijn operators in staat zich met adaptieve stealth door cloudomgevingen en container-ecosystemen te bewegen.”
