Le framework de malware Linux sophistiqué récemment découvert, connu sous le nom de Lien vide Il est considéré comme ayant été développé par une seule personne à l’aide d’un modèle d’intelligence artificielle (IA).
C’est ce que révèlent les nouvelles conclusions de Check Point Research, qui a identifié des erreurs de sécurité opérationnelle commises par l’auteur du malware, fournissant ainsi des indices sur les origines de son développement. Les dernières informations font de VoidLink l'un des premiers cas de logiciels malveillants avancés générés en grande partie par l'intelligence artificielle.
“Ces documents fournissent des preuves claires que le malware a été principalement produit grâce à un développement basé sur l'IA, atteignant un premier implant fonctionnel en moins d'une semaine”, a déclaré la société de cybersécurité, ajoutant qu'il avait atteint plus de 88 000 lignes de code début décembre 2025.
VoidLink, documenté publiquement pour la première fois la semaine dernière, est un framework de malware riche en fonctionnalités écrit en Zig et spécialement conçu pour un accès furtif à long terme aux environnements cloud basés sur Linux. Le malware proviendrait d’un environnement de développement affilié à la Chine. Au moment de la rédaction de cet article, l’objectif exact du malware n’est toujours pas clair. À ce jour, aucune infection n’a été observée dans le monde réel.
Une analyse de suivi réalisée par Sysdig a été la première à souligner le fait que l'ensemble d'outils pourrait avoir été développé à l'aide d'un grand modèle de langage (LLM) sous les instructions d'un humain possédant une connaissance approfondie du développement du noyau et une expérience de l'équipe rouge, citant quatre éléments de preuve différents :
- Sortie de débogage trop systématique avec un formatage parfaitement cohérent entre les modules
- Les données d'espace réservé (« John Doe ») sont typiques des exemples de formation LLM intégrés dans des modèles de réponse leurre.
- Gestion des versions d'API uniforme où tout est _v3 (par exemple BeaconAPI_v3, docker_escape_v3, timestomp_v3)
- Réponses JSON de type modèle couvrant tous les champs possibles
“Le scénario le plus probable : un développeur expert parlant chinois a utilisé l'IA pour accélérer le développement (génération de passe-partout, journalisation du débogage, modèles JSON) tout en fournissant l'expertise et l'architecture en matière de sécurité”, a noté le fournisseur de sécurité cloud à la fin de la semaine dernière.
Le rapport de Check Point de mardi soutient cette hypothèse, affirmant qu'il a identifié des artefacts suggérant que le développement lui-même a été conçu à l'aide d'un modèle d'IA, qui a ensuite été utilisé pour créer, exécuter et tester le cadre, transformant ainsi ce qui était un concept en un outil de travail dans un délai accéléré.
 |
| Aperçu de haut niveau du projet VoidLink |
“L'approche générale du développement de VoidLink peut être décrite comme un développement axé sur les spécifications (SDD)”, a-t-il noté. “Dans ce flux de travail, un développeur commence par spécifier ce qu'il construit, puis crée un plan, le décompose en tâches, et permet ensuite seulement à un agent de le mettre en œuvre.”
L’acteur malveillant aurait commencé à travailler sur VoidLink fin novembre 2025, en utilisant un agent de chiffrement connu sous le nom de BRING ONLY pour effectuer ses tâches. Cette évaluation est basée sur la présence de fichiers auxiliaires générés par TRAE qui ont été copiés avec le code source sur le serveur de l'acteur menaçant, puis divulgués dans un répertoire ouvert exposé.
De plus, Check Point a déclaré avoir découvert du matériel de planification interne rédigé en chinois concernant les calendriers de sprint, les répartitions des fonctionnalités et les directives de codage qui présentent toutes les caractéristiques du contenu généré par LLM : bien structuré, formaté de manière cohérente et méticuleusement détaillé. Un de ces documents détaillant le plan de développement a été créé le 27 novembre 2025.
La documentation aurait été réutilisée comme plan d'exécution permettant au LLM de suivre, créer et tester le malware. Check Point, qui a répliqué le flux de travail de déploiement à l'aide de l'IDE TRAE utilisé par le développeur, a constaté que le modèle générait un code qui ressemblait au code source de VoidLink.
 |
| Plan de développement traduit pour trois équipes : Core, Arsenal et Backend |
“Un examen des instructions de normalisation du code avec le code source récupéré de VoidLink montre un niveau d'alignement surprenant”, a-t-il déclaré. “Les conventions, la structure et les modèles d'implémentation correspondent si étroitement qu'il ne reste que peu de place au doute : la base de code a été écrite en suivant ces instructions exactes.”
Ce développement est un autre signe que même si l’IA et les LLM ne dotent pas les mauvais acteurs de nouvelles capacités, ils peuvent encore abaisser les barrières à l’entrée de la cybercriminalité, permettant même à un seul individu d’imaginer, de construire et d’itérer rapidement des systèmes complexes et de mener des attaques sophistiquées, simplifiant ainsi ce qui était autrefois un processus qui nécessitait une quantité importante d’efforts et de ressources et qui n’était disponible que pour les adversaires des États-nations.
“VoidLink représente un réel changement dans la façon dont les logiciels malveillants avancés peuvent être créés. Ce qui ressort n'est pas seulement la sophistication du cadre, mais aussi la vitesse à laquelle il a été construit”, a déclaré Eli Smadja, chef de groupe chez Check Point Research, dans une déclaration partagée avec The Hacker News.
« L'IA a permis à ce qui semble être un acteur unique de planifier, développer et itérer une plate-forme de malware complexe en quelques jours, ce qui nécessitait auparavant des équipes coordonnées et des ressources importantes. C'est un signe clair que l'IA change l'économie et l'ampleur des cybermenaces.
Dans un livre blanc publié cette semaine, Group-IB a décrit l’IA comme le moteur d’une « cinquième vague » dans l’évolution de la cybercriminalité, offrant des outils prêts à l’emploi pour permettre des attaques sophistiquées. “Les adversaires industrialisent l'IA, transformant des compétences autrefois spécialisées telles que la persuasion, l'usurpation d'identité et le développement de logiciels malveillants en services à la demande accessibles à toute personne possédant une carte de crédit”, a-t-il déclaré.
La société de cybersécurité basée à Singapour a noté que les publications sur les forums du dark web contenant des mots-clés d'IA ont connu une augmentation de 371 % depuis 2019, les acteurs malveillants faisant la publicité de dark LLM comme Nytheon AI qui n'ont aucune restriction éthique, de cadres de jailbreak et de kits d'identité synthétiques qui proposent des acteurs vidéo IA, des voix clonées et même des ensembles de données biométriques pour aussi peu que 5 $.
“L'IA a industrialisé la cybercriminalité. Ce qui nécessitait autrefois des opérateurs formés et du temps peut désormais être acheté, automatisé et étendu à l'échelle mondiale”, a déclaré Craig Jones, ancien directeur de la cybercriminalité d'INTERPOL et conseiller stratégique indépendant.
“Bien que l'IA n'ait pas créé de nouvelles motivations pour les cybercriminels (l'argent, l'influence et l'accès continuent de diriger l'écosystème), elle a considérablement augmenté la vitesse, l'ampleur et la sophistication avec lesquelles ces motivations sont poursuivies.”
