Odkryto VoidLink – wyrafinowany framework C2 dla systemów Linux w środowiskach kontenerowych i chmurowych

Przyzwyczailiśmy się, że najgroźniejsze zagrożenia trafiają przede wszystkim w Windows. Badacze z Check Point Research odkryli framework o kryptonimie VoidLink, który zamyka lukę w arsenale cyberprzestępców. Jest to pierwsze tak zaawansowane narzędzie przeznaczone wyłącznie dla środowisk linuksowych działającym w chmurze. Specjaliści używają określenia "daleko bardziej zaawansowany niż typowe złośliwe oprogramowanie dla Linuksa".

VoidLink to nowy standard zaawansowania złośliwego oprogramowania dla Linuksa. Framework automatycznie profiluje środowisko ofiary i wybiera strategię ukrywania dostosowaną do wykrytych zabezpieczeń.

Portal Cyber.gov.pl integruje usługi cyberbezpieczeństwa NASK i Ministerstwa Cyfryzacji. To może uratować Twoją firmę

VoidLink to nie kolejny backdoor czy trojan, to kompletny ekosystem ataku zaprojektowany dla nowoczesnej infrastruktury. Framework składa się z ponad 30 modułów wtyczek, niestandardowych loaderów, implantów i rootkitów działających w pamięci operacyjnej. Całość została napisana głównie w języku Zig z dodatkami w Go i C, co wskazuje na bardzo wysokie kompetencje techniczne twórców. Architektura systemu przypomina znany z ataków na Windows framework Cobalt Strike i jego mechanizm Beacon Object Files, tyle że VoidLink od podstaw stworzono z myślą o Linuksie oraz środowiskach chmurowych AWS, Google Cloud Platform, Microsoft Azure, Alibaba Cloud i Tencent Cloud. Malware potrafi nie tylko wykryć, w którym środowisku działa, ale również sprawdzić, czy uruchomiono go w kontenerze Docker lub podzie Kubernetes, a następnie dostosowuje swoje zachowanie do konkretnej konfiguracji.

Badacze odkryli Landfall, czyli komercyjny spyware atakujący smartfony Samsung Galaxy przez pliki DNG w WhatsApp

Najgroźniejszą cechą VoidLink jest jego adaptacyjne ukrywanie. Po uruchomieniu framework skanuje system w poszukiwaniu rozwiązań EDR, narzędzi monitorujących oraz mechanizmów hartowania jądra. Na podstawie zebranych danych oblicza tzw. wynik ryzyka środowiska i automatycznie dostosowuje strategie inwazji. W środowiskach o wysokim ryzyku malware spowalnia skanowanie portów, wydłuża interwały komunikacji z serwerem C2 i wybiera bardziej dyskretne techniki. System rootkitów jest równie wyrafinowany. W zależności od wersji jądra Linux VoidLink automatycznie wybiera jedną z trzech metod: LD_PRELOAD dla starszych wersji (poniżej 4.0), moduły ładowalne jądra (LKM) dla wersji 4.0 i nowszych lub rootkity wykorzystujące eBPF dla jądra 5.5+. Dzięki temu może ukrywać swoje procesy, pliki i połączenia sieciowe niezależnie od konfiguracji systemu docelowego.

Awaria ekosystemu Microsoft, brak możliwości logowania do Azure, Minecraft i pakietu biurowego 365. W tle ponownie Amazon AWS

Framework obsługuje 37 różnych wtyczek pogrupowanych w kategorie. Są to narzędzia rozpoznawcze, moduły antykryminalistyczne, kontenerowe, eskalacji uprawnień oraz ruchu bocznego. Wśród nich znajdują się pluginy do automatycznego wykrywania i eksplorowania kontenerów, wydobywania sekretów z Kubernetes, zbierania kluczy SSH i tokenów API, a nawet worm rozprzestrzeniający się przez SSH. VoidLink potrafi komunikować się z serwerem dowodzenia przez HTTP/HTTPS, WebSocket, tunelowanie DNS oraz ICMP. Cały ruch szyfruje własnym protokołem VoidStream i maskuje jako standardową aktywność sieciową (żądania JavaScript, CSS lub API). Analizowane przez Check Point próbki zawierały również niewdrożone jeszcze funkcje komunikacji mesh P2P, która pozwoliłaby zainfekowanym maszynom przekazywać pakiety między sobą bez potrzeby wychodzenia do internetu. Jeśli malware wykryje próbę analizy, debugowania lub ingerencji w kod, natychmiast usuwa siebie z systemu, a moduły anty-forensic kasują logi systemowe, historię poleceń, rekordy logowania i nadpisują usunięte pliki losowymi danymi, uniemożliwiając ich odzyskanie.

Północnokoreańscy hakerzy wykorzystują EtherHiding, ukrywanie malware w smart kontraktach Ethereum i BNB Smart Chain

Zgodnie z analizą Check Point, VoidLink prawdopodobnie powstał w środowisku powiązanym z Chinami. Wskazują na to chińskojęzyczny interfejs panelu kontrolnego oraz optymalizacje kodu. Dokładne powiązania pozostają niejasne, ale malware może być związane z grupami APT takimi jak Red Menshen (znanej również jako DecisiveArchitect czy Earth Bluecrow), która od 2021 roku stosuje zaawansowane backdoory dla Linuksa, w tym BPFDoor. Dotychczas nie potwierdzono aktywnych infekcji VoidLink w środowisku produkcyjnym. Próbki zawierały symbole debugowania i artefakty deweloperskie, co sugeruje, że badacze natrafili na wersje w fazie rozwoju. Jednak szybkie tempo aktualizacji i staranność dokumentacji wskazują, że framework może być przeznaczony do sprzedaży komercyjnej, jako narzędzie dla zespołów Red Team, produkt dla undergroundu lub dedykowany system dla konkretnego klienta rządowego.

Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0

Pojawienie się VoidLink oznacza przełom w krajobrazie zagrożeń dla systemów Linuksowych. Podczas gdy Windows od lat dysponuje zaawansowanymi platformami zarządzania atakiem, Linux długo pozostawał poza zainteresowaniem twórców profesjonalnego malware. Teraz, gdy organizacje masowo przenoszą obciążenia do chmury, a infrastruktura bazujaca na Linuksie, Docker i Kubernetes staje się standardem, pojawienie się narzędzia takiego jak VoidLink było tylko kwestią czasu. Framework ten może oznaczać początek nowej ery ataków na środowiska serwerowe. Podobnie jak Cobalt Strike zmienił krajobraz ataków na Windows, VoidLink może zdefiniować przyszłość zagrożeń dla chmury obliczeniowej.