Des chercheurs en sécurité de Check Point ont mis au jour VoidLink, un nouveau framework de malware Linux sophistiqué conçu pour cibler les infrastructures cloud. Écrit en Zig et lié à des développeurs chinois, il comporte plus de 30 plugins pour une reconnaissance furtive, le vol de credentials et le mouvement latéral. Aucune infection réelle n'a été observée à ce jour, mais ses capacités signalent une menace croissante pour les environnements cloud d'entreprise.
Fin 2025, Check Point Research a identifié des échantillons de VoidLink sur VirusTotal, un framework de malware inédit écrit dans le langage de programmation Zig. Les échantillons, qui incluent des artefacts de développement comme des symboles de débogage, indiquent un outil en cours de développement plutôt qu'une arme pleinement déployée. Désigné en interne sous le nom VoidLink par ses créateurs, le framework semble provenir d'un environnement de développement affilié à la Chine, avec une interface de commande et contrôle localisée pour des opérateurs chinois. VoidLink est adapté aux environnements cloud basés sur Linux, scannant automatiquement les principaux fournisseurs tels qu'AWS, Google Cloud Platform, Microsoft Azure, Alibaba et Tencent lors de l'infection. Les développeurs prévoient d'étendre la détection à Huawei, DigitalOcean et Vultr. Cette approche cloud-first marque un tournant, alors que les cibles de haute valeur comme les agences gouvernementales et les entreprises dépendent de plus en plus de ces plateformes pour des opérations sensibles. L'architecture modulaire du malware se distingue, avec au moins 37 plugins organisés par catégorie. Ces plugins permettent une gamme d'activités : reconnaissance pour le profilage système et la cartographie réseau ; découverte Kubernetes et Docker avec des outils d'escalade de privilèges et d'évasion de conteneurs ; vol de credentials visant les clés SSH, credentials Git, clés API et données de navigateur ; fonctionnalités post-exploitation comme des shells, redirection de ports et un ver SSH pour propagation latérale ; mécanismes de persistance ; et modules anti-forensiques pour effacer les logs et s'auto-supprimer en cas de détection de manipulation ou d'analyse. Check Point décrit VoidLink comme « bien plus avancé que le malware Linux typique », avec des chargeurs personnalisés, implants, rootkits kernel-level cachant processus, fichiers et activité réseau, et une API personnalisée inspirée de Beacon de Cobalt Strike. Il calcule un « score de risque » pour adapter le comportement dans des environnements surveillés, masquant le trafic C2 en appels web ou API légitimes. Le framework privilégie l'accès à long terme, la surveillance et la collecte de données plutôt que la perturbation, suggérant une préparation pour un usage professionnel par des acteurs étatiques ou motivés financièrement. Bien qu'aucune preuve d'infections sauvages n'existe, les experts avertissent que la sophistication de VoidLink relève les enjeux pour les défenseurs. Les organisations sont appelées à renforcer la surveillance des déploiements cloud Linux, en se concentrant sur la sécurité runtime et les audits de configuration pour contrer de telles menaces évolutives.
