Check Pointのセキュリティ研究者がVoidLinkを発見。これはクラウドインフラを標的とした洗練された新しいLinuxマルウェアフレームワーク。Zigで書かれ、中国人開発者と関連し、30以上のプラグインを備え、隠密偵察、認証情報窃取、横移動が可能。実際の感染事例はまだ確認されていないが、その能力は企業クラウド環境への脅威増大を示唆している。
2025年末、Check Point ResearchはVirusTotal上でVoidLinkのサンプルを特定。これはZigプログラミング言語で書かれた前例のないマルウェアフレームワークである。デバッグシンボルなどの開発アーティファクトを含むサンプルは、完全に展開された武器ではなく開発中のツールを示している。作成者により内部的にVoidLinkと呼ばれ、中国関連の開発環境に由来し、中国人オペレーター向けにローカライズされたC2インターフェースを備える。VoidLinkはLinuxベースのクラウド環境向けに特化し、感染時にAWS、Google Cloud Platform、Microsoft Azure、Alibaba、Tencentなどの主要プロバイダを自動スキャンする。開発者はHuawei、DigitalOcean、Vultrへの検知拡大を計画中。このクラウド優先アプローチは、政府機関や企業が高価値オペレーションでこれらのプラットフォームに依存する中で転換点となる。マルウェアのモジュール式アーキテクチャが際立ち、カテゴリ別に整理された少なくとも37のプラグインを備える。これらはシステムプロファイリング・ネットワークマッピングのための偵察、Kubernetes・Docker発見と権限昇格・コンテナ脱出ツール、SSHキー・Git認証情報・APIキー・ブラウザデータの認証情報窃取、シェル・ポートフォワーディング・横展開のためのSSHベースワームなどのポストエクスプロイト機能、永続化機構、改ざん・解析検知時のログ消去・自己削除などのアンチフォレンジックモジュールを可能にする。Check PointはVoidLinkを「典型的なLinuxマルウェアよりはるかに先進的」と評し、カスタムローダー・インプラント・プロセス・ファイル・ネットワーク活動を隠蔽するカーネルレベルルートキット、Cobalt StrikeのBeaconに着想を得たカスタムAPIを特徴とする。監視環境で動作を適応させる「リスクスコア」を計算し、C2トラフィックを正当なWeb・APIコールに偽装する。フレームワークは破壊ではなく長期アクセス・監視・データ収集を優先し、国家支援または金銭動機のアクターによるプロフェッショナル使用の準備を示唆する。野生感染の証拠はないものの、専門家はVoidLinkの洗練度が防御者の負担を高めると警告。組織はLinuxクラウド展開の監視強化、ランタイムセキュリティと設定監査に注力し、進化する脅威に対抗するよう促されている。
