Investigadores de Check Point han revelado que VoidLink, un malware sofisticado para Linux dirigido a servidores en la nube, fue construido en gran parte por un solo desarrollador utilizando herramientas de IA. El marco, que incluye más de 30 plugins modulares para acceso prolongado al sistema, alcanzó las 88.000 líneas de código en menos de una semana, a pesar de planes que sugerían un plazo de 20-30 semanas. Este desarrollo destaca el potencial de la IA para acelerar la creación de malware avanzado.
VoidLink es un marco de malware para Linux enfocado en la nube diseñado para mantener un acceso persistente a sistemas basados en Linux, con cargadores personalizados, implantes, técnicas de evasión basadas en rootkit y docenas de plugins modulares. Detallado por primera vez por Check Point Research la semana pasada, inicialmente se pensó que el malware provenía de un grupo de ciberdelincuentes bien financiado debido a su sofisticación modular y desarrollo rápido. Sin embargo, el análisis de artefactos de desarrollo expuestos reveló que VoidLink fue generado predominantemente por IA bajo la dirección de un solo individuo. El proyecto probablemente comenzó a finales de noviembre de 2025, utilizando TRAE SOLO, un asistente de IA dentro del IDE centrado en IA TRAE. Archivos filtrados, incluidos documentos de planificación en chino, sprints, ideas de diseño y cronogramas, indicaban un enfoque estructurado en el que la IA manejaba el diseño de arquitectura, generación de código y ejecución a través de equipos virtuales simulados. Aunque los planes delineaban un esfuerzo de 20-30 semanas, la evidencia muestra que el malware evolucionó del concepto a un implante funcional en menos de una semana, escalando a más de 88.000 líneas de código. Las indicaciones iniciales del desarrollador se centraron en un diseño esquelético, posiblemente probando los límites de la IA, con puntos de control regulares para verificar la funcionalidad del código. Los investigadores de Check Point recrearon el marco siguiendo las especificaciones filtradas en el mismo IDE, confirmando el rol de la IA en producir código funcional y de alta calidad sprint tras sprint. «VoidLink demuestra que la era tan esperada de malware sofisticado generado por IA probablemente ha comenzado», afirma el blog de Check Point. «En manos de actores de amenazas individuales experimentados o desarrolladores de malware, la IA puede construir marcos de malware sofisticados, sigilosos y estables que se asemejan a los creados por grupos de amenazas sofisticados y experimentados.» Este caso marca un cambio en las amenazas de ciberseguridad, ya que la IA amplifica la velocidad y escala de las capacidades ofensivas para desarrolladores capaces. Anteriormente, el malware impulsado por IA se vinculaba a operaciones menos sofisticadas, pero VoidLink eleva el riesgo base, según expertos.
