Säkerhetsforskare på Check Point har upptäckt VoidLink, en sofistikerad ny Linux-malware-ramverk utformad för att rikta in sig på molninfrastrukturer. Skrivet i Zig och kopplat till kinesiska utvecklare, har den över 30 plugins för smygande rekognosering, stöld av uppgifter och laterell rörelse. Inga verkliga infektioner har observerats ännu, men dess kapabiliteter signalerar ett växande hot mot företags molnmiljöer.
I slutet av 2025 identifierade Check Point Research prover av VoidLink på VirusTotal, ett tidigare osett malware-ramverk skrivet i programmeringsspråket Zig. Proven, som inkluderar utvecklingsartefakter som debug-symboler, indikerar ett verktyg under utveckling snarare än ett fullt utplacerat vapen. Intern benämnt VoidLink av dess skapare, verkar ramverket härstamma från en kinesisk-affilierad utvecklingsmiljö, med ett kommandocheck- och kontrollgränssnitt lokaliserat för kinesiska operatörer. VoidLink är skräddarsytt för Linux-baserade molnmiljöer och skannar automatiskt stora leverantörer som AWS, Google Cloud Platform, Microsoft Azure, Alibaba och Tencent vid infektion. Utvecklare planerar att utöka detektering till Huawei, DigitalOcean och Vultr. Denna moln-först approach markerar en förskjutning, då högvärdemål som myndigheter och företag i ökande grad förlitar sig på dessa plattformar för känsliga operationer. Malwarets modulära arkitektur sticker ut, med minst 37 plugins organiserade efter kategori. Dessa möjliggör ett spektrum av aktiviteter: rekognosering för systemprofilering och nätverkskartläggning; Kubernetes- och Docker-upptäckt med privilegeskalning och container escape-verktyg; stöld av uppgifter riktad mot SSH-nycklar, Git-uppgifter, API-nycklar och webbläsardata; post-exploateringfunktioner som shells, portvidarebefordran och en SSH-baserad mask för laterell spridning; persistensmekanismer; och anti-forensiska moduler för att radera loggar och självdöda vid detektering av manipulation eller analys. Check Point beskriver VoidLink som 'mycket mer avancerat än typisk Linux-malware', med anpassade loaders, implantat, kernel-nivå rootkits som döljer processer, filer och nätverksaktivitet, samt en anpassad API inspirerad av Cobalt Strikes Beacon. Det beräknar en 'riskpoäng' för att anpassa beteendet i övervakade miljöer, maskerar C2-trafik som legitim web- eller API-anrop. Ramverket prioriterar långsiktig åtkomst, övervakning och datainsamling framför disruption, vilket tyder på förberedelse för professionell användning av statsunderstödda eller ekonomiskt motiverade aktörer. Även om inga bevis för vilda infektioner finns, varnar experter för att VoidLinks sofistikering höjer insatserna för försvarare. Organisationer uppmanas att förstärka övervakningen av Linux-molndeployments, med fokus på runtime-säkerhet och konfigurationsgranskningar för att motverka sådana evoluerande hot.
