Ранее неизвестная хакерская группировка UAT-9921 начала активные атаки на технологический и финансовый секторы, используя новый вредоносный фреймворк под названием VoidLink. Основной целью злоумышленников являются облачные среды на базе Linux, хотя обнаружены признаки разработки версий и под Windows. Группировка действует как минимум с 2019 года, но использование VoidLink стало относительно недавним дополнением к их арсеналу. Согласно анализу, создатели вредоносного ПО, вероятно, владеют китайским языком, на что указывают лингвистические особенности в коде фреймворка.
Детальное исследование угрозы провели специалисты из Cisco Talos — Ник Биазини, Аарон Бойд, Ашир Малхотра и Витор Вентура. Их отчет дополняет данные, опубликованные компанией Check Point в прошлом месяце, которая первой задокументировала VoidLink, а также анализ от компании Ontinue, выпущенный в начале этой недели. Исследователи отмечают, что разработка инструментов, вероятно, разделена между несколькими командами, однако четкая граница между разработкой и операциями отсутствует. Операторы обладают глубокими знаниями внутренних протоколов связи имплантов и имеют доступ к исходному коду некоторых модулей ядра, что позволяет им взаимодействовать с зараженными системами даже без участия командного сервера (C2).
Архитектура VoidLink представляет собой модульный фреймворк, предназначенный для скрытного и долгосрочного доступа к системам. Уникальной особенностью разработки является использование парадигмы «spec-driven development» (разработка на основе спецификаций). Анализ показывает, что код, вероятно, был написан одним разработчиком при активной помощи большой языковой модели (LLM). В техническом плане фреймворк полиглотен: основной имплант написан на ZigLang, плагины создаются на C, а бэкенд реализован на GoLang. На данный момент статус ПО оценивается как «почти готовый к эксплуатации концепт» (near-production-ready proof of concept).
Тактика UAT-9921 подразумевает использование VoidLink как инструмента пост-компрометации, что позволяет обходить первичные системы обнаружения. После заражения хоста злоумышленники устанавливают C2 VoidLink и разворачивают SOCKS-прокси. Для внутренней разведки и бокового перемещения по сети (lateral movement) активно применяются инструменты с открытым исходным кодом, в частности сканер Fscan. Командный сервер способен динамически предоставлять специфические плагины, такие как эксплойты или средства чтения баз данных, в зависимости от обнаруженной оператором среды.
Функционал VoidLink включает возможность компиляции по требованию (compile-on-demand), что обеспечивает поддержку различных дистрибутивов Linux. Импланты оснащены механизмами противодействия криминалистическому анализу и способны скрывать свое присутствие от решений класса EDR (Endpoint Detection and Response). Компания Ontinue особо отметила наличие руткитов уровня ядра, упакованных непосредственно в импланты. Кроме того, существуют доказательства разработки варианта для Windows, использующего технику DLL side-loading (подмена динамически подключаемых библиотек).
Система управления VoidLink отличается строгой аудируемостью и внедрением ролевой модели доступа (RBAC). Предусмотрено три уровня привилегий: SuperAdmin (суперадминистратор), Operator (оператор) и Viewer (наблюдатель). Наличие такой структуры наводит некоторых исследователей на мысль, что данная активность может быть частью учений Red Team, однако фактические атаки на жертв ставят это под сомнение.
Хронология инцидентов вызывает особый интерес исследователей. По данным Cisco Talos, идентификация многочисленных жертв датируется сентябрем 2025 года. При этом компания Check Point, основываясь на анализе, предположила, что начало разработки приходится на ноябрь 2025 года, хотя Talos утверждает, что работа над проектом началась раньше. Эти временные метки указывают на сложную структуру кампании и возможные неточности в цифровых следах, оставленных злоумышленниками.
Эксперты из Ontinue предупреждают, что использование LLM для генерации имплантов существенно снижает порог вхождения для киберпреступников, позволяя создавать сложное и труднообнаружимое вредоносное ПО для облачных сред. VoidLink обладает потенциалом стать еще более мощным инструментом благодаря своей гибкости и модульности, что делает его серьезной угрозой для корпоративных сетей в ближайшем будущем.
Изображение носит иллюстративный характер
Детальное исследование угрозы провели специалисты из Cisco Talos — Ник Биазини, Аарон Бойд, Ашир Малхотра и Витор Вентура. Их отчет дополняет данные, опубликованные компанией Check Point в прошлом месяце, которая первой задокументировала VoidLink, а также анализ от компании Ontinue, выпущенный в начале этой недели. Исследователи отмечают, что разработка инструментов, вероятно, разделена между несколькими командами, однако четкая граница между разработкой и операциями отсутствует. Операторы обладают глубокими знаниями внутренних протоколов связи имплантов и имеют доступ к исходному коду некоторых модулей ядра, что позволяет им взаимодействовать с зараженными системами даже без участия командного сервера (C2).
Архитектура VoidLink представляет собой модульный фреймворк, предназначенный для скрытного и долгосрочного доступа к системам. Уникальной особенностью разработки является использование парадигмы «spec-driven development» (разработка на основе спецификаций). Анализ показывает, что код, вероятно, был написан одним разработчиком при активной помощи большой языковой модели (LLM). В техническом плане фреймворк полиглотен: основной имплант написан на ZigLang, плагины создаются на C, а бэкенд реализован на GoLang. На данный момент статус ПО оценивается как «почти готовый к эксплуатации концепт» (near-production-ready proof of concept).
Тактика UAT-9921 подразумевает использование VoidLink как инструмента пост-компрометации, что позволяет обходить первичные системы обнаружения. После заражения хоста злоумышленники устанавливают C2 VoidLink и разворачивают SOCKS-прокси. Для внутренней разведки и бокового перемещения по сети (lateral movement) активно применяются инструменты с открытым исходным кодом, в частности сканер Fscan. Командный сервер способен динамически предоставлять специфические плагины, такие как эксплойты или средства чтения баз данных, в зависимости от обнаруженной оператором среды.
Функционал VoidLink включает возможность компиляции по требованию (compile-on-demand), что обеспечивает поддержку различных дистрибутивов Linux. Импланты оснащены механизмами противодействия криминалистическому анализу и способны скрывать свое присутствие от решений класса EDR (Endpoint Detection and Response). Компания Ontinue особо отметила наличие руткитов уровня ядра, упакованных непосредственно в импланты. Кроме того, существуют доказательства разработки варианта для Windows, использующего технику DLL side-loading (подмена динамически подключаемых библиотек).
Система управления VoidLink отличается строгой аудируемостью и внедрением ролевой модели доступа (RBAC). Предусмотрено три уровня привилегий: SuperAdmin (суперадминистратор), Operator (оператор) и Viewer (наблюдатель). Наличие такой структуры наводит некоторых исследователей на мысль, что данная активность может быть частью учений Red Team, однако фактические атаки на жертв ставят это под сомнение.
Хронология инцидентов вызывает особый интерес исследователей. По данным Cisco Talos, идентификация многочисленных жертв датируется сентябрем 2025 года. При этом компания Check Point, основываясь на анализе, предположила, что начало разработки приходится на ноябрь 2025 года, хотя Talos утверждает, что работа над проектом началась раньше. Эти временные метки указывают на сложную структуру кампании и возможные неточности в цифровых следах, оставленных злоумышленниками.
Эксперты из Ontinue предупреждают, что использование LLM для генерации имплантов существенно снижает порог вхождения для киберпреступников, позволяя создавать сложное и труднообнаружимое вредоносное ПО для облачных сред. VoidLink обладает потенциалом стать еще более мощным инструментом благодаря своей гибкости и модульности, что делает его серьезной угрозой для корпоративных сетей в ближайшем будущем.
