Des chercheurs de Check Point ont révélé que VoidLink, un malware Linux sophistiqué visant les serveurs cloud, a été en grande partie construit par un seul développeur utilisant des outils d’IA. Le framework, qui comprend plus de 30 plugins modulaires pour un accès système à long terme, a atteint 88 000 lignes de code en moins d’une semaine malgré des plans prévoyant un délai de 20-30 semaines. Ce développement met en lumière le potentiel de l’IA à accélérer la création de malwares avancés.
VoidLink est un framework de malware Linux axé sur le cloud conçu pour maintenir un accès persistant aux systèmes basés sur Linux, avec des chargeurs personnalisés, des implants, des techniques d’évasion basées sur rootkit et des dizaines de plugins modulaires. Détaillé pour la première fois par Check Point Research la semaine dernière, le malware était initialement considéré comme provenant d’un groupe de cybercriminels bien doté en ressources en raison de sa sophistication modulaire et de son développement rapide. Cependant, l’analyse d’artefacts de développement exposés a révélé que VoidLink a été principalement généré par l’IA sous la direction d’un individu. Le projet a probablement commencé fin novembre 2025, en utilisant TRAE SOLO, un assistant IA au sein de l’IDE centré sur l’IA TRAE. Des fichiers divulgués, incluant des documents de planification en chinois, des sprints, des idées de conception et des calendriers, indiquaient une approche structurée où l’IA gérait la conception d’architecture, la génération de code et l’exécution via des équipes virtuelles simulées. Bien que les plans prévoyaient un effort de 20-30 semaines, les preuves montrent que le malware est passé du concept à un implant fonctionnel en moins d’une semaine, atteignant plus de 88 000 lignes de code. Les invites initiales du développeur se concentraient sur un design squelettique, testant probablement les garde-fous de l’IA, avec des points de contrôle réguliers pour vérifier la fonctionnalité du code. Les chercheurs de Check Point ont recréé le framework en suivant les spécifications divulguées dans le même IDE, confirmant le rôle de l’IA dans la production de code fonctionnel et de haute qualité sprint après sprint. «VoidLink démontre que l’ère tant attendue des malwares sophistiqués générés par IA a probablement commencé», déclare le blog de Check Point. «Aux mains d’acteurs de menaces individuels expérimentés ou de développeurs de malwares, l’IA peut construire des frameworks de malwares sophistiqués, furtifs et stables qui ressemblent à ceux créés par des groupes de menaces sophistiqués et expérimentés.» Ce cas marque un tournant dans les menaces de cybersécurité, l’IA amplifiant la vitesse et l’échelle des capacités offensives pour les développeurs compétents. Auparavant, les malwares pilotés par IA étaient associés à des opérations moins sophistiquées, mais VoidLink élève le risque de base, selon les experts.
