Peneliti keamanan di Check Point telah mengungkap VoidLink, kerangka malware Linux baru yang canggih dirancang untuk menargetkan infrastruktur cloud. Ditulis dalam Zig dan terkait dengan pengembang China, memiliki lebih dari 30 plugin untuk pengintaian sembunyi, pencurian kredensial, dan pergerakan lateral. Belum ada infeksi dunia nyata yang diamati, tetapi kemampuannya menandakan ancaman yang berkembang bagi lingkungan cloud perusahaan.
Pada akhir 2025, Check Point Research mengidentifikasi sampel VoidLink di VirusTotal, kerangka malware yang belum pernah terlihat sebelumnya yang ditulis dalam bahasa pemrograman Zig. Sampel tersebut, yang mencakup artefak pengembangan seperti simbol debug, menunjukkan alat yang sedang dikembangkan daripada senjata yang sepenuhnya diterapkan. Disebut secara internal sebagai VoidLink oleh penciptanya, kerangka tersebut tampaknya berasal dari lingkungan pengembangan yang berafiliasi dengan China, dengan antarmuka command-and-control yang dilokalisasi untuk operator China. VoidLink disesuaikan untuk lingkungan cloud berbasis Linux, secara otomatis memindai penyedia utama seperti AWS, Google Cloud Platform, Microsoft Azure, Alibaba, dan Tencent saat terinfeksi. Pengembang berencana memperluas deteksi ke Huawei, DigitalOcean, dan Vultr. Pendekatan cloud-first ini menandai pergeseran, karena target bernilai tinggi seperti lembaga pemerintah dan perusahaan semakin bergantung pada platform ini untuk operasi sensitif. Arsitektur modular malware ini menonjol, dengan setidaknya 37 plugin yang diorganisir berdasarkan kategori. Plugin ini memungkinkan berbagai aktivitas: pengintaian untuk profiling sistem dan pemetaan jaringan; penemuan Kubernetes dan Docker dengan alat eskalasi hak istimewa dan pelarian kontainer; pencurian kredensial yang menargetkan kunci SSH, kredensial Git, kunci API, dan data browser; fitur pasca-eksploitasi seperti shell, port forwarding, dan worm berbasis SSH untuk penyebaran lateral; mekanisme persistensi; dan modul anti-forensik untuk menghapus log dan menghapus diri sendiri saat mendeteksi tampering atau analisis. Check Point menggambarkan VoidLink sebagai 'jauh lebih maju daripada malware Linux tipikal', dengan loader khusus, implan, rootkit tingkat kernel yang menyembunyikan proses, file, dan aktivitas jaringan, serta API khusus yang terinspirasi dari Beacon Cobalt Strike. Ia menghitung 'skor risiko' untuk menyesuaikan perilaku di lingkungan yang dipantau, menyamarkan lalu lintas C2 sebagai panggilan web atau API yang sah. Kerangka ini memprioritaskan akses jangka panjang, pengawasan, dan pengumpulan data daripada gangguan, menunjukkan persiapan untuk penggunaan profesional oleh aktor yang disponsori negara atau termotivasi finansial. Meskipun tidak ada bukti infeksi liar, para ahli memperingatkan bahwa kecanggihan VoidLink meningkatkan taruhan bagi pembela. Organisasi didesak untuk meningkatkan pemantauan penerapan cloud Linux, dengan fokus pada keamanan runtime dan audit konfigurasi untuk melawan ancaman yang berkembang seperti ini.
