Pesquisadores de segurança da Check Point descobriram o VoidLink, um novo framework de malware sofisticado para Linux projetado para atacar infraestruturas de nuvem. Escrito em Zig e ligado a desenvolvedores chineses, possui mais de 30 plugins para reconhecimento furtivo, roubo de credenciais e movimento lateral. Nenhuma infecção real foi observada ainda, mas suas capacidades sinalizam uma ameaça crescente para ambientes de nuvem empresariais.
No final de 2025, a Check Point Research identificou amostras do VoidLink no VirusTotal, um framework de malware nunca antes visto escrito na linguagem de programação Zig. As amostras, que incluem artefatos de desenvolvimento como símbolos de depuração, indicam uma ferramenta em andamento em vez de uma arma totalmente implantada. Referido internamente como VoidLink por seus criadores, o framework parece originar-se de um ambiente de desenvolvimento afiliado à China, com uma interface de comando e controle localizada para operadores chineses. O VoidLink é adaptado para ambientes de nuvem baseados em Linux, escaneando automaticamente provedores principais como AWS, Google Cloud Platform, Microsoft Azure, Alibaba e Tencent ao ser infectado. Os desenvolvedores planejam expandir a detecção para Huawei, DigitalOcean e Vultr. Essa abordagem cloud-first marca uma mudança, pois alvos de alto valor como agências governamentais e empresas dependem cada vez mais dessas plataformas para operações sensíveis. A arquitetura modular do malware se destaca, com pelo menos 37 plugins organizados por categoria. Estes permitem uma gama de atividades: reconhecimento para perfilamento de sistemas e mapeamento de redes; descoberta de Kubernetes e Docker com ferramentas de escalonamento de privilégios e escape de contêineres; roubo de credenciais visando chaves SSH, credenciais Git, chaves API e dados de navegador; recursos pós-exploração como shells, encaminhamento de portas e um worm baseado em SSH para propagação lateral; mecanismos de persistência; e módulos anti-forenses para apagar logs e autoexcluir ao detectar adulteração ou análise. A Check Point descreve o VoidLink como 'muito mais avançado que o malware típico para Linux', com carregadores personalizados, implantes, rootkits de nível kernel que escondem processos, arquivos e atividade de rede, e uma API personalizada inspirada no Beacon do Cobalt Strike. Ele calcula uma 'pontuação de risco' para adaptar o comportamento em ambientes monitorados, disfarçando o tráfego C2 como chamadas web ou API legítimas. O framework prioriza acesso de longo prazo, vigilância e coleta de dados sobre disrupção, sugerindo preparação para uso profissional por atores patrocinados pelo estado ou motivados financeiramente. Embora não haja evidências de infecções selvagens, especialistas alertam que a sofisticação do VoidLink eleva as apostas para os defensores. As organizações são instadas a aprimorar o monitoramento de implantações de nuvem Linux, focando em segurança em tempo de execução e auditorias de configuração para combater tais ameaças em evolução.
