На прошлой неделе исследователи впервые задокументировали появление сложного вредоносного фреймворка для Linux под названием VoidLink. Этот инструмент, написанный на языке программирования Zig, предназначен для скрытного и долгосрочного доступа к облачным средам на базе Linux. Несмотря на масштабность проекта, на данный момент реальных случаев заражения не зафиксировано, а точная цель программы остается неясной. Однако ключевой особенностью VoidLink является невероятная скорость его создания: кодовая база достигла объема в 88 000 строк к началу декабря 2025 года, причем разработка функционального импланта заняла менее недели.
Аналитики из Check Point Research, обнаружившие угрозу, пришли к выводу, что за созданием этого масштабного проекта стоит всего один человек, использующий технологии искусственного интеллекта. Ранее создание вредоносного ПО такого уровня требовало скоординированной работы целых команд или даже участия спонсируемых государством хакерских групп. В случае с VoidLink процесс занял считанные дни благодаря применению методологии разработки на основе спецификаций (Spec Driven Development — SDD). Разработчик определял план сборки, разбивал его на задачи, а затем использовал ИИ-агента для их реализации.
В ходе расследования выяснилось, что разработчик использовал инструменты TRAE SOLO (агент кодирования) и TRAE IDE (интегрированная среда разработки). Процесс разделения труда был четко структурирован: оператор, предположительно говорящий на китайском языке, предоставлял экспертизу в области безопасности, архитектуру и инструкции. Модель искусственного интеллекта, в свою очередь, генерировала шаблонный код, журнал отладки, JSON-шаблоны, а также выполняла сборку и тестирование. Check Point Research удалось воспроизвести этот рабочий процесс, получив результат, близкий к исходному коду VoidLink.
Техническая структура вредоносного ПО отличается высокой сложностью и модульностью. Среди идентифицированных компонентов присутствуют модули
Раскрытие личности и методов автора стало возможным из-за серьезной ошибки в операционной безопасности (OpSec): злоумышленник оставил открытым каталог на своем сервере. Внутри были обнаружены вспомогательные файлы, сгенерированные TRAE, и материалы внутреннего планирования, написанные на китайском языке. Документы, датированные 27 ноября 2025 года, содержали графики спринтов и инструкции по стандартизации. Стиль этих материалов имел характерные признаки контента, созданного большими языковыми моделями (LLM): четкая структура, последовательное форматирование и тщательная детализация.
Сингапурская компания Group-IB, специализирующаяся на кибербезопасности, охарактеризовала происходящее как «пятую волну» в эволюции киберпреступности, усиленную искусственным интеллектом. Согласно их данным, с 2019 года количество сообщений на форумах даркнета, содержащих ключевые слова, связанные с ИИ, увеличилось на 371%. Индустриализация киберпреступности привела к тому, что навыки убеждения, выдачи себя за другое лицо и разработки вредоносных программ стали услугами по запросу, а барьеры для входа критически снизились.
На теневом рынке уже существуют специализированные инструменты, такие как «Dark LLM» под названием Nytheon AI, не имеющие этических ограничений. В продаже доступны фреймворки для взлома (джейлбрейка), наборы синтетических личностей, ИИ-видеоактеры, клонированные голоса и биометрические наборы данных, стоимость которых начинается всего от 5 долларов. Эли Смаджа, менеджер группы в Check Point Research, и Крейг Джонс, бывший директор INTERPOL по киберпреступности и независимый стратегический советник, отмечают, что ИИ изменил скорость, масштаб и сложность атак, хотя основные мотивы преступников — деньги, рычаги давления и доступ — остались прежними.
Временная шкала создания VoidLink подтверждает эту тенденцию ускорения. Работа над проектом началась в конце ноября 2025 года, документ с планом разработки появился 27 ноября, а уже в начале декабря кодовая база достигла 88 000 строк. Во вторник, после того как о VoidLink стало известно широкой публике, Check Point выпустили отчет, подтверждающий гипотезу об использовании ИИ. Этот случай наглядно демонстрирует, как одиночные злоумышленники теперь могут конкурировать по эффективности с крупными хакерскими группировками.
Изображение носит иллюстративный характер
Аналитики из Check Point Research, обнаружившие угрозу, пришли к выводу, что за созданием этого масштабного проекта стоит всего один человек, использующий технологии искусственного интеллекта. Ранее создание вредоносного ПО такого уровня требовало скоординированной работы целых команд или даже участия спонсируемых государством хакерских групп. В случае с VoidLink процесс занял считанные дни благодаря применению методологии разработки на основе спецификаций (Spec Driven Development — SDD). Разработчик определял план сборки, разбивал его на задачи, а затем использовал ИИ-агента для их реализации.
В ходе расследования выяснилось, что разработчик использовал инструменты TRAE SOLO (агент кодирования) и TRAE IDE (интегрированная среда разработки). Процесс разделения труда был четко структурирован: оператор, предположительно говорящий на китайском языке, предоставлял экспертизу в области безопасности, архитектуру и инструкции. Модель искусственного интеллекта, в свою очередь, генерировала шаблонный код, журнал отладки, JSON-шаблоны, а также выполняла сборку и тестирование. Check Point Research удалось воспроизвести этот рабочий процесс, получив результат, близкий к исходному коду VoidLink.
Техническая структура вредоносного ПО отличается высокой сложностью и модульностью. Среди идентифицированных компонентов присутствуют модули
BeaconAPI_v3, docker_escape_v3 и timestomp_v3. Выходные данные программы структурированы в виде шаблонных JSON-ответов, охватывающих все возможные поля. Согласно внутренним документам, план разработки был разделен на три условные команды: «Core» (ядро), «Arsenal» (арсенал) и «Backend» (бэкенд), что имитировало структуру профессиональной софтверной компании, хотя всем управлял один человек. Раскрытие личности и методов автора стало возможным из-за серьезной ошибки в операционной безопасности (OpSec): злоумышленник оставил открытым каталог на своем сервере. Внутри были обнаружены вспомогательные файлы, сгенерированные TRAE, и материалы внутреннего планирования, написанные на китайском языке. Документы, датированные 27 ноября 2025 года, содержали графики спринтов и инструкции по стандартизации. Стиль этих материалов имел характерные признаки контента, созданного большими языковыми моделями (LLM): четкая структура, последовательное форматирование и тщательная детализация.
Сингапурская компания Group-IB, специализирующаяся на кибербезопасности, охарактеризовала происходящее как «пятую волну» в эволюции киберпреступности, усиленную искусственным интеллектом. Согласно их данным, с 2019 года количество сообщений на форумах даркнета, содержащих ключевые слова, связанные с ИИ, увеличилось на 371%. Индустриализация киберпреступности привела к тому, что навыки убеждения, выдачи себя за другое лицо и разработки вредоносных программ стали услугами по запросу, а барьеры для входа критически снизились.
На теневом рынке уже существуют специализированные инструменты, такие как «Dark LLM» под названием Nytheon AI, не имеющие этических ограничений. В продаже доступны фреймворки для взлома (джейлбрейка), наборы синтетических личностей, ИИ-видеоактеры, клонированные голоса и биометрические наборы данных, стоимость которых начинается всего от 5 долларов. Эли Смаджа, менеджер группы в Check Point Research, и Крейг Джонс, бывший директор INTERPOL по киберпреступности и независимый стратегический советник, отмечают, что ИИ изменил скорость, масштаб и сложность атак, хотя основные мотивы преступников — деньги, рычаги давления и доступ — остались прежними.
Временная шкала создания VoidLink подтверждает эту тенденцию ускорения. Работа над проектом началась в конце ноября 2025 года, документ с планом разработки появился 27 ноября, а уже в начале декабря кодовая база достигла 88 000 строк. Во вторник, после того как о VoidLink стало известно широкой публике, Check Point выпустили отчет, подтверждающий гипотезу об использовании ИИ. Этот случай наглядно демонстрирует, как одиночные злоумышленники теперь могут конкурировать по эффективности с крупными хакерскими группировками.
