Investigadores de seguridad de Check Point han descubierto VoidLink, un nuevo marco de malware sofisticado para Linux diseñado para atacar infraestructuras en la nube. Escrito en Zig y vinculado a desarrolladores chinos, cuenta con más de 30 plugins para reconocimiento sigiloso, robo de credenciales y movimiento lateral. Aún no se han observado infecciones reales, pero sus capacidades señalan una amenaza creciente para entornos empresariales en la nube.
A finales de 2025, Check Point Research identificó muestras de VoidLink en VirusTotal, un marco de malware nunca antes visto escrito en el lenguaje de programación Zig. Las muestras, que incluyen artefactos de desarrollo como símbolos de depuración, indican una herramienta en desarrollo en lugar de un arma completamente desplegada. Internamente referido como VoidLink por sus creadores, el marco parece originarse en un entorno de desarrollo afiliado a China, con una interfaz de comando y control localizada para operadores chinos. VoidLink está adaptado para entornos en la nube basados en Linux, escaneando automáticamente proveedores principales como AWS, Google Cloud Platform, Microsoft Azure, Alibaba y Tencent al infectarse. Los desarrolladores planean expandir la detección a Huawei, DigitalOcean y Vultr. Este enfoque priorizando la nube marca un cambio, ya que objetivos de alto valor como agencias gubernamentales y empresas dependen cada vez más de estas plataformas para operaciones sensibles. La arquitectura modular del malware destaca, con al menos 37 plugins organizados por categoría. Estos permiten una gama de actividades: reconocimiento para perfilado de sistemas y mapeo de redes; descubrimiento de Kubernetes y Docker con herramientas de escalada de privilegios y escape de contenedores; robo de credenciales dirigido a claves SSH, credenciales de Git, claves API y datos de navegadores; funciones post-explotación como shells, reenvío de puertos y un gusano basado en SSH para propagación lateral; mecanismos de persistencia; y módulos anti-forenses para borrar registros y autoeliminarse al detectar manipulación o análisis. Check Point describe VoidLink como «mucho más avanzado que el malware típico para Linux», con cargadores personalizados, implantes, rootkits a nivel de kernel que ocultan procesos, archivos y actividad de red, y una API personalizada inspirada en Beacon de Cobalt Strike. Calcula un «puntaje de riesgo» para adaptar el comportamiento en entornos monitoreados, disfrazando el tráfico C2 como llamadas web o API legítimas. El marco prioriza el acceso a largo plazo, la vigilancia y la recopilación de datos sobre la disrupción, sugiriendo preparación para uso profesional por actores patrocinados por el estado o motivados financieramente. Aunque no existe evidencia de infecciones en entornos reales, los expertos advierten que la sofisticación de VoidLink eleva las apuestas para los defensores. Se insta a las organizaciones a mejorar el monitoreo de despliegues en la nube Linux, enfocándose en seguridad en tiempo de ejecución y auditorías de configuración para contrarrestar tales amenazas en evolución.
