В декабре 2025 года специалисты Check Point Research раскрыли детали обнаружения нового сложного фреймворка вредоносного ПО под названием VoidLink. Этот инструмент представляет собой облачный Linux-имплант и систему пост-эксплуатации, атрибутируемую киберпреступникам, связанным с Китаем. Эксперты оценивают уровень подготовки разработчиков как чрезвычайно высокий, отмечая их глубокие знания внутренних механизмов операционных систем. Сам фреймворк описывается аналитиками как «впечатляющий» и «гораздо более продвинутый, чем типичное вредоносное ПО для Linux». Он находится в статусе активной поддержки и продолжает эволюционировать, будучи спроектированным для длительного и скрытного доступа к зараженным системам.
Технической основой VoidLink является использование языка программирования Zig для написания основного импланта, что нетипично для массовых угроз. Разработчики также использовали языки Go и C, а для создания современных интерфейсов управления применялся React. Ядром архитектуры выступает логика «cloud-first», ориентированная на облачные среды. Структура программы включает компонент-оркестратор, управляющий командно-контрольной связью (C2) и задачами. Центральным элементом дизайна стала пользовательская система API плагинов, вдохновленная подходом Beacon Object Files (BOF) из инструментария Cobalt Strike. Это обеспечивает высокую модульность: операторы могут загружать пользовательские загрузчики, руткиты и плагины непосредственно в память, расширяя функциональность без записи на диск.
Целевая аудитория и сфера применения VoidLink охватывают крупнейшие мировые облачные платформы, включая Amazon Web Services (AWS), Google Cloud, Microsoft Azure, а также китайские Alibaba и Tencent. Особое внимание уделяется контейнерным технологиям, таким как Docker и Kubernetes. Основными жертвами атак, вероятно, становятся разработчики программного обеспечения. Злоумышленники преследуют цели кражи конфиденциальных данных или проведения атак на цепочки поставок, используя скомпрометированные среды разработки как плацдарм.
Сетевая инфраструктура VoidLink отличается гибкостью и поддерживает множество каналов связи, включая HTTP/HTTPS, WebSocket, ICMP и DNS-туннелирование. Одной из ключевых особенностей является возможность формирования одноранговой сети (P2P) или ячеистой топологии между зараженными узлами. Это позволяет создавать устойчивые каналы передачи данных внутри периметра жертвы, минимизируя внешний трафик и усложняя обнаружение командных серверов средствами защиты сети.
Управление операциями осуществляется через веб-панель китайского происхождения (Builder Panel), разработанную на React. Этот интерфейс предоставляет операторам полный контроль над имплантом, позволяя создавать кастомизированные версии вредоносного ПО «на лету». Панель дает возможность управлять файлами, задачами и плагинами, а также реализовывать полный цикл атаки: от разведки и закрепления в системе до бокового перемещения и уклонения от средств защиты.
Экосистема VoidLink включает в себя в общей сложности 37 плагинов, из которых более 30 доступны по умолчанию. В арсенал входят продвинутые возможности руткитов, использующие технологии
Специфические облачные возможности фреймворка позволяют проводить разведку в средах Kubernetes и Docker, выполнять побег из контейнеров, повышать привилегии и искать мисконфигурации. Модули кражи учетных данных нацелены на SSH-ключи, токены и API-ключи, локальные пароли, данные браузеров и файлы cookie. Особую опасность представляет сбор учетных данных Git из систем контроля версий. Для бокового перемещения по сети используется SSH-червь, а персистентность (закрепление) достигается через злоупотребление динамическим компоновщиком, задачи cron и системные службы.
Особое внимание разработчики уделили механизмам защиты самого вредоносного ПО и уклонения от обнаружения. VoidLink рассчитывает «оценку риска», перечисляя установленные продукты безопасности и меры усиления защиты на хосте. Поведение импланта адаптивно: он определяет запуск внутри Docker или Kubernetes и корректирует тактику, например, замедляя сканирование портов в средах с высоким риском. Также реализована защита от анализа: код помечает отладчики, использует самомодификацию (расшифровывает защищенные участки памяти только во время исполнения и зашифровывает обратно) и имеет функцию самоуничтожения при обнаружении попыток вмешательства.
Изображение носит иллюстративный характер
Технической основой VoidLink является использование языка программирования Zig для написания основного импланта, что нетипично для массовых угроз. Разработчики также использовали языки Go и C, а для создания современных интерфейсов управления применялся React. Ядром архитектуры выступает логика «cloud-first», ориентированная на облачные среды. Структура программы включает компонент-оркестратор, управляющий командно-контрольной связью (C2) и задачами. Центральным элементом дизайна стала пользовательская система API плагинов, вдохновленная подходом Beacon Object Files (BOF) из инструментария Cobalt Strike. Это обеспечивает высокую модульность: операторы могут загружать пользовательские загрузчики, руткиты и плагины непосредственно в память, расширяя функциональность без записи на диск.
Целевая аудитория и сфера применения VoidLink охватывают крупнейшие мировые облачные платформы, включая Amazon Web Services (AWS), Google Cloud, Microsoft Azure, а также китайские Alibaba и Tencent. Особое внимание уделяется контейнерным технологиям, таким как Docker и Kubernetes. Основными жертвами атак, вероятно, становятся разработчики программного обеспечения. Злоумышленники преследуют цели кражи конфиденциальных данных или проведения атак на цепочки поставок, используя скомпрометированные среды разработки как плацдарм.
Сетевая инфраструктура VoidLink отличается гибкостью и поддерживает множество каналов связи, включая HTTP/HTTPS, WebSocket, ICMP и DNS-туннелирование. Одной из ключевых особенностей является возможность формирования одноранговой сети (P2P) или ячеистой топологии между зараженными узлами. Это позволяет создавать устойчивые каналы передачи данных внутри периметра жертвы, минимизируя внешний трафик и усложняя обнаружение командных серверов средствами защиты сети.
Управление операциями осуществляется через веб-панель китайского происхождения (Builder Panel), разработанную на React. Этот интерфейс предоставляет операторам полный контроль над имплантом, позволяя создавать кастомизированные версии вредоносного ПО «на лету». Панель дает возможность управлять файлами, задачами и плагинами, а также реализовывать полный цикл атаки: от разведки и закрепления в системе до бокового перемещения и уклонения от средств защиты.
Экосистема VoidLink включает в себя в общей сложности 37 плагинов, из которых более 30 доступны по умолчанию. В арсенал входят продвинутые возможности руткитов, использующие технологии
LD_PRELOAD, загружаемые модули ядра (LKM) и eBPF для скрытия процессов в зависимости от версии ядра Linux. Система проводит автоматическое профилирование окружения, чтобы выбрать наиболее эффективную стратегию маскировки. Для противодействия криминалистическому анализу предусмотрены функции удаления или редактирования логов, изменение истории команд оболочки по ключевым словам и техника «timestomping» — изменение временных меток файлов для затруднения расследования инцидентов. Специфические облачные возможности фреймворка позволяют проводить разведку в средах Kubernetes и Docker, выполнять побег из контейнеров, повышать привилегии и искать мисконфигурации. Модули кражи учетных данных нацелены на SSH-ключи, токены и API-ключи, локальные пароли, данные браузеров и файлы cookie. Особую опасность представляет сбор учетных данных Git из систем контроля версий. Для бокового перемещения по сети используется SSH-червь, а персистентность (закрепление) достигается через злоупотребление динамическим компоновщиком, задачи cron и системные службы.
Особое внимание разработчики уделили механизмам защиты самого вредоносного ПО и уклонения от обнаружения. VoidLink рассчитывает «оценку риска», перечисляя установленные продукты безопасности и меры усиления защиты на хосте. Поведение импланта адаптивно: он определяет запуск внутри Docker или Kubernetes и корректирует тактику, например, замедляя сканирование портов в средах с высоким риском. Также реализована защита от анализа: код помечает отладчики, использует самомодификацию (расшифровывает защищенные участки памяти только во время исполнения и зашифровывает обратно) и имеет функцию самоуничтожения при обнаружении попыток вмешательства.
