Des chercheurs en cybersécurité ont révélé les détails d'un cadre de malware riche en fonctionnalités et non documenté, nommé de code Lien vide spécialement conçu pour un accès furtif à long terme aux environnements cloud basés sur Linux
Selon un nouveau rapport de Check Point Research, le cadre de malware Linux cloud natif comprend une série de chargeurs personnalisés, d'implants, de rootkits et de modules complémentaires modulaires qui permettent à leurs opérateurs d'augmenter ou de modifier leurs capacités au fil du temps, ainsi que de pivoter lorsque les cibles changent. Il a été découvert pour la première fois en décembre 2025.
« Le cadre comprend plusieurs capacités et modules centrés sur le cloud, et est conçu pour fonctionner de manière fiable dans des environnements cloud et de conteneurs pendant des périodes prolongées », a déclaré la société de cybersécurité dans une analyse publiée aujourd'hui. “L'architecture de VoidLink est extrêmement flexible et hautement modulaire, centrée autour d'une API de plugin personnalisée qui semble s'inspirer de l'approche Beacon Object Files (BOF) de Cobalt Strike. Cette API est utilisée dans plus de 30 modules de plugin disponibles par défaut.”
Les résultats reflètent un changement d'orientation des acteurs de la menace, passant des systèmes Windows aux systèmes Linux, qui sont devenus la base des services cloud et des opérations critiques. VoidLink, qui est activement maintenu et développé, est considéré comme l'œuvre d'acteurs menaçants affiliés à la Chine.
La boîte à outils, un implant cloud écrit dans le langage de programmation Zig, peut détecter les principaux environnements cloud, à savoir. Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba et Tencent, et adapte son comportement s'il reconnaît qu'il s'exécute dans un conteneur Docker ou un pod Kubernetes. Il peut également collecter les informations d'identification associées aux environnements cloud et aux systèmes de contrôle de version de code source populaires tels que Git.
 |
| Présentation générale de VoidLink |
Le ciblage de ces services indique que VoidLink est probablement conçu pour attaquer les développeurs de logiciels, soit dans le but de voler des données sensibles, soit d'exploiter l'accès pour mener des attaques sur la chaîne d'approvisionnement.
Certaines de ses autres capacités sont répertoriées ci-dessous :
- Fonctions de type rootkit qui utilisent LD_PRELOAD, Loadable Kernel Module (LKM) et eBPF pour masquer leurs processus en fonction de la version du noyau Linux.
- Un système de plugin en mémoire pour étendre les fonctionnalités
- Prise en charge de divers canaux de commande et de contrôle (C2), tels que le tunneling HTTP/HTTPS, WebSocket, ICMP et DNS
- Formez un réseau peer-to-peer (P2P) ou de type maillé entre des hôtes compromis
Un tableau de bord Web chinois qui permet aux attaquants de contrôler à distance l'implant, de créer des versions personnalisées à la volée, de gérer les fichiers, les tâches et les plugins, et d'effectuer différentes étapes du cycle d'attaque depuis la reconnaissance et la persistance jusqu'au mouvement latéral et à l'évasion de la défense en éliminant les traces d'activité malveillante.
 |
| Panneau de création pour créer des versions personnalisées de VoidLink |
VoidLink prend en charge 37 plugins couvrant la médecine légale, la reconnaissance, les conteneurs, l'élévation de privilèges, les mouvements latéraux et autres, ce qui en fait un cadre post-exploitation complet.
- Anti-forensics, pour supprimer ou modifier les journaux et l'historique du shell en fonction de mots-clés et effectuer des vérifications de synchronisation des fichiers pour rendre l'analyse plus difficile.
- Cloud, pour faciliter la découverte de Kubernetes et Docker et l'élévation des privilèges, les échappements de conteneurs et les recherches de mauvaise configuration.
- Credential Harvesting, pour collecter des informations d'identification et des secrets, notamment des clés SSH, des informations d'identification Git, des mots de passe locaux, des informations d'identification de navigateur, ainsi que des cookies, des jetons et des clés API.
- Mouvement latéral, pour se propager latéralement à l'aide d'un ver basé sur SSH
- Persistance, pour aider à établir la persistance en abusant des éditeurs de liens dynamiques, des tâches cron et des services système.
- Recon, pour collecter des informations détaillées sur le système et l’environnement.
Le décrivant comme “impressionnant” et “beaucoup plus avancé que les logiciels malveillants Linux classiques”, Check Point a déclaré que VoidLink comporte un composant d'orchestration de base qui gère les communications C2 et l'exécution des tâches.
Il intègre également une série de fonctions anti-analyse pour éviter la détection. En plus de signaler divers débogueurs et outils de surveillance, il peut se supprimer si des signes de falsification sont détectés. Il propose également une option de modification automatique du code qui peut décrypter les régions de code protégées au moment de l'exécution et les chiffrer lorsqu'elles ne sont pas utilisées, en contournant les scanners de mémoire d'exécution.
De plus, le cadre des logiciels malveillants répertorie les produits de sécurité installés et les mesures de renforcement sur l'hôte compromis pour calculer un score de risque et parvenir à une stratégie globale d'évasion. Par exemple, cela peut impliquer de ralentir les analyses de ports et d’avoir un meilleur contrôle dans les environnements à haut risque.
“Les développeurs font preuve d'un haut niveau d'expertise technique, avec une solide maîtrise de plusieurs langages de programmation, notamment Go, Zig, C et des frameworks modernes tels que React”, a noté Check Point. “De plus, l'attaquant possède une connaissance approfondie des systèmes d'exploitation internes sophistiqués, ce qui lui permet de développer des solutions avancées et complexes.”
“VoidLink vise à automatiser autant que possible l'évasion, en profilant un environnement et en choisissant la stratégie la plus appropriée pour y opérer. Étendu par le mode noyau et un vaste écosystème de plugins, VoidLink permet à ses opérateurs de se déplacer à travers les environnements cloud et les écosystèmes de conteneurs avec une furtivité adaptative.”