Новата VoidLink малициозна платформа ги таргетира Linux cloud серверите

Објавено: 14.01.2026

Новoоткриена напредна cloud-native Linux малициозна платформа наречена VoidLink е фокусирана на cloud околини, обезбедувајќи им на напаѓачите сопствени лоудери, импланти, rootkit-и и приклучоци дизајнирани за модерни инфраструктури.

VoidLink е напишанa на Zig, Go и C, а нејзиниот код покажува знаци на проект во активен развој, со обемна документација, и најверојатно е наменета за комерцијални цели.

Аналитичарите за малициозен софтвер од компанијата за сајбер безбедност Check Point велат дека VoidLink може да утврди дали се извршува во Kubernetes или Docker околина и соодветно да го прилагоди своето однесување. Сепак, досега не се потврдени активни инфекции, што ја поддржува претпоставката дека малициозниот софтвер е создаден „или како комерцијална понуда, или како платформа развиена за конкретен клиент“.

Истражувачите забележуваат дека VoidLink изгледа дека е развиван и одржуван од развивачи што зборуваат кинески јазик, врз основа на локализацијата на интерфејсот и направените оптимизации.

VoidLink панел за изработка (builder panel)

VoidLink можности

VoidLink е модуларна post-exploitation платформа за Linux системи која им овозможува на хакерите да ги контролираат компромитираните машини додека остануваат скриени, да ја прошируваат функционалноста со приклучоци и да го прилагодуваат однесувањето на специфични cloud и контејнерски околини.

Откако имплантот ќе се активира, тој проверува дали се извршува во Docker или Kubernetes и ги бара метаподатоците на cloud инстанцата за провајдери како AWS, GCP, Azure, Alibaba и Tencent, со планови да се додаде поддршка и за Huawei, DigitalOcean и Vultr.

Платформата собира системски детали како верзија на кернелот, хипервизор, активни процеси и мрежна состојба, и скенира за EDR решенија, зацврстување на кернелот и алатки за мониторинг.

Сите информации, заедно со ризик-оценка пресметана врз основа на инсталираните безбедносни решенија и мерки за зацврстување, му се испраќаат на операторот, овозможувајќи му да го прилагоди однесувањето на модулите, како на пример побавно скенирање на портови и подолги интервали на „beaconing“.

Имплантот комуницира со операторот преку повеќе протоколи (HTTP, WebSocket, DNS тунелирање, ICMP), обвиткани во сопствен слој за енкриптирана размена на пораки наречен „VoidStream“, кој го камуфлира сообраќајот за да личи на нормална веб или API активност.

Оперативен преглед на VoidLink

Приклучоците на VoidLink се ELF објектни датотеки што се вчитуваат директно во меморија и повикуваат API‑ја на платформата преку syscalls.

Според анализата на Check Point, тековните верзии на VoidLink користат 35 приклучоци во стандардната конфигурација:

Извидување (Reconnaissance): систем, корисници, процеси, мрежа
Cloud и контејнерска енумирација и помошни алатки за „escape“
Крадење акредитиви: SSH клучеви, Git акредитиви, токени, API клучеви, податоци од прелистувачи
Латерално движење: shell‑ови, пренасочување и тунелирање на портови, ширење базирано на SSH
Механизми за перзистентност: злоупотреба на динамичкиот линкер, cron задачи, системски сервиси
Анти-форензика: бришење логови, чистење историја, манипулација со временски ознаки (timestomping)

Избор на приклучоци за активирање

За да се обезбеди овие операции да останат неоткриени, VoidLink користи сет од rootkit модули кои ги сокриваат процесите, датотеките, мрежните сокети или самиот rootkit.

Во зависност од верзијата на кернелот на хостот, платформата користи LD_PRELOAD (постари верзии), LKM (loadable kernel modules) или rootkit-и базирани на eBPF.

Дополнително, VoidLink може да детектира дебагери во околината, користи енкрипција на кодот за време на извршување и спроведува проверки на интегритет за откривање hooks и манипулации — сè тоа претставува напредни механизми против анализа.

Доколку се открие манипулација, имплантот се само-брише, а анти-форензичките модули ги бришат логовите, историјата на shell, записите за најавување и безбедно ги препишуваат сите датотеки што биле спуштени на хостот, со што се минимизира изложеноста на форензички истраги.

Истражувачите од Check Point наведуваат дека VoidLink е развиен со фокус на прикриеност, бидејќи „има цел да ја автоматизира евазијата колку што е можно повеќе“ преку детално профилирање на таргетираната околина пред изборот на најдобрата стратегија.

Тие истакнуваат дека новата платформа „е далеку понапредна од типичниот Linux малициозен софтвер“ и е дело на развивачи со „високо ниво на техничка експертиза“, многу вешти во повеќе програмски јазици.

„Самиот број на функционалности и нејзината модуларна архитектура покажуваат дека авторите имале намера да создадат софистицирана, модерна и функционално богата платформа“, велат истражувачите.

Check Point во денешниот извештај обезбедува и сет на индикатори за компромитација (IoCs), заедно со технички детали за модулите и листа на откриени приклучоци.

Извори:

Bleeping Computer – New VoidLink malware framework targets Linux cloud servers Bleeping Computer