Un nouveau Framework de logiciels malveillants Linux conçu dès le départ pour le cloud, baptisé comme Lien videSon niveau technique, similaire à celui de Un logiciel malveillant Linux se dissimule en utilisant io_uring. Son objectif est clairement orienté vers les infrastructures modernes. Cet outil, détecté pour la première fois fin 2025, ne ressemble pas aux familles de logiciels malveillants traditionnelles : il se comporte davantage comme une plateforme complète de post-exploitation, conçue pour fonctionner pendant de longues périodes sans éveiller les soupçons.
Recherches menées par des entreprises telles que Check Point Research Ils soulignent que VoidLink Il est encore en phase de développement actif. Il semble destiné à un usage commercial ou à des clients très spécifiques, plutôt qu'à des campagnes de masse. Bien qu'aucune infection n'ait été confirmée à ce jour, la documentation disponible, l'étendue des modules et la qualité du code le placent parmi les menaces Linux les plus sophistiquées analysées ces dernières années, au même titre que des incidents antérieurs tels que les attaques de la chaîne d'approvisionnement.
VoidLink : un framework de gestion de logiciels malveillants conçu pour le cloud et les conteneurs
VoidLink se présente comme un Implémentation axée sur le cloud pour les systèmes LinuxConçu pour fonctionner de manière stable dans les infrastructures cloud et les environnements conteneurisés, ce framework intègre des chargeurs personnalisés, des implants, des composants de type rootkit et une large gamme de plugins qui permettent aux opérateurs d'ajuster ses capacités en fonction de chaque objectif et de l'étape de l'opération.
Le cœur de la plateforme est principalement construit en des langages comme Zig, Go et CCela facilite sa portabilité et ses performances sur de multiples distributions. Son architecture interne repose sur une API de plugins propriétaire, inspirée d'approches telles que les fichiers objets Beacon de Cobalt Strike, qui permet de charger des modules en mémoire et d'étendre les fonctionnalités sans avoir à déployer de nouveaux binaires à chaque fois.
D'après l'analyse technique, la conception modulaire rend possible la fonctionnalité de VoidLink. est mis à jour ou modifié « à la volée »Ajouter ou retirer des capacités en fonction des besoins de l'opération : des simples missions de reconnaissance aux activités d'espionnage continues ou aux attaques potentielles contre la chaîne d'approvisionnement.
Détection intelligente des fournisseurs de cloud et des environnements
L'un des points qui inquiète le plus les spécialistes est la capacité de VoidLink à identifier l'environnement dans lequel il s'exécuteLe dispositif vérifie s'il se trouve à l'intérieur d'un conteneur Docker ou d'un pod Kubernetes, et interroge les métadonnées de l'instance pour déterminer le fournisseur de cloud sous-jacent.
Les services reconnus par ce cadre comprennent : Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, Alibaba Cloud et Tencent CloudAvec des plans déjà visibles dans le code pour ajouter la compatibilité avec d'autres fournisseurs tels que Huawei Cloud, DigitalOcean ou Vultr, il adapte son comportement et les modules qu'il active en fonction de ce qu'il trouve afin de minimiser l'exposition.
Cette capacité de profilage s'étend également au système hôte : VoidLink Il recueille des informations détaillées sur le noyau, l'hyperviseur, les processus et l'état du réseau.Il vérifie également la présence de solutions de détection et de réponse aux incidents sur les terminaux (EDR), de mesures de renforcement du noyau et d'outils de surveillance susceptibles de révéler son activité ; c'est pourquoi il est conseillé de l'utiliser. outils pour l'analyse des rootkits en analyse médico-légale.
L'architecture modulaire et le système de plugins de VoidLink
Le cœur du cadre est un orchestrateur central qui gère les communications de commandement et de contrôle (C2) Il répartit les tâches entre les différents modules. Des dizaines de plugins, chargés directement en mémoire et implémentés sous forme d'objets ELF interagissant avec l'API interne via des appels système, reposent sur ce noyau.
Les versions analysées utilisent entre 35 et 37 plugins par défautCes fonctionnalités sont regroupées en catégories telles que la reconnaissance, les déplacements latéraux, la persistance, l'anti-forensique, la gestion des conteneurs et du cloud, et le vol d'identifiants. Cette structure fait de VoidLink une véritable plateforme de post-exploitation pour Linux, comparable aux outils professionnels utilisés en tests d'intrusion.
Le choix d'un système de plugins en mémoire, associé à l'absence de nécessité d'écrire de nouveaux binaires sur disque pour ajouter des fonctionnalités, permet réduire considérablement l'empreinte sur les équipes engagées et complique le travail des analystes judiciaires et des solutions de détection basées sur les fichiers.
Panneau web pour le contrôle à distance et la création de builds
Les opérateurs VoidLink ont ​​un panneau de contrôle accessible via le WebDéveloppée à l'aide de technologies modernes comme React, cette console permet aux utilisateurs de gérer l'intégralité du cycle de vie d'une intrusion. Documentée en chinois, elle permet la création de versions personnalisées de l'implant, l'attribution de tâches, le chargement et le téléchargement de plugins, ainsi que la gestion des fichiers sur les systèmes compromis.
Grâce à ce panneau, les attaquants peuvent orchestrer les différentes phases de l'attaqueLa reconnaissance initiale de l'environnement, l'établissement d'une présence persistante, les déplacements latéraux entre les machines, l'utilisation de techniques d'évasion et l'effacement des traces sont autant d'étapes essentielles. Le panneau de contrôle intègre des options permettant de modifier en temps réel les paramètres opérationnels, tels que les intervalles de communication, le niveau de furtivité ou les méthodes de connexion à l'infrastructure de commandement.
Cette approche, plus proche d'un produit commercial que d'un simple logiciel malveillant ponctuel, renforce l'hypothèse selon laquelle VoidLink Il pourrait être proposé comme un service ou comme une plateforme à la demande., au lieu d'être un outil réservé à l'usage exclusif d'un seul groupe.
VoidLink utilise plusieurs canaux de commande et de contrôle
Pour communiquer avec l'infrastructure des attaquants, VoidLink utilise plusieurs protocoles C2Cela permet une adaptation flexible aux différents scénarios réseau et niveaux de surveillance. Les canaux pris en charge incluent HTTP et HTTPS, WebSocket, ICMP et même les tunnels DNS.
À ces protocoles conventionnels se superpose une couche de chiffrement spécifique, connue sous le nom de "VoidStream"Conçue pour dissimuler le trafic et le faire ressembler à des requêtes Web ou à des appels API légitimes, cette obfuscation rend difficile la détection de schémas anormaux par les solutions de sécurité basées sur le trafic à l'aide de simples signatures.
Grâce à cette flexibilité, les opérateurs peuvent choisir de des configurations de communication plus discrètesen allongeant les intervalles de balisage ou en utilisant des canaux moins courants tels que ICMP lorsque l'environnement comporte des contrôles réseau plus stricts.
Rootkits et techniques de dissimulation avancées
VoidLink intègre plusieurs modules avec Fonctions de rootkit adaptées au noyau Linux qui s'exécute sur la machine compromise. Selon sa version et ses fonctionnalités, il peut utiliser différentes techniques pour dissimuler son activité : injection via LD_PRELOAD, modules noyau chargeables (LKM) ou rootkits basés sur eBPF, comme on l'a vu dans des menaces récentes telles que… rotajakiro, déguisé en système.
Ces composants permettent masquer les processus, les fichiers, les sockets réseau et même le rootkit lui-mêmeIl s'agit de minimiser les signes visibles pour les administrateurs et les outils de surveillance. Le module approprié est sélectionné après analyse des caractéristiques du système, en optimisant à la fois la compatibilité et les performances.
En combinant ces techniques avec un système de chargement en mémoire et la capacité de fonctionner dans des environnements conteneurisés, le framework Elle parvient à maintenir une présence très discrète.même sur des serveurs à forte activité ou avec plusieurs applications exécutées simultanément.
Plugins VoidLink pour la reconnaissance, la persistance et le déplacement latéral
Parmi le vaste catalogue de plugins, ceux axés sur se distinguent. évaluation environnementale et collecte d'informationsCes modules recueillent des données sur les utilisateurs, les processus actifs, la topologie du réseau, les services exposés et les caractéristiques des conteneurs et des orchestrateurs présents.
D'autres plugins sont orientés vers Maintenir la persistance dans les systèmes LinuxCela implique l'utilisation de méthodes allant de la manipulation dynamique du chargeur à la création de tâches cron planifiées ou à la modification des services système. Grâce à ces techniques, le programme malveillant peut survivre aux redémarrages et aux modifications de configuration mineures sans nécessiter d'autres intrusions.
En ce qui concerne les déplacements latéraux, VoidLink inclut outils pour la propagation via SSHCette fonctionnalité permet la création de tunnels, la redirection de ports et l'établissement de connexions distantes, facilitant ainsi une connectivité transparente entre les machines. Elle est particulièrement pertinente dans les infrastructures européennes dotées d'architectures de microservices, où de nombreux nœuds connectés via SSH et des réseaux internes sont courants.
Le vol d'identifiants et l'attention portée aux développeurs
Une partie importante du cadre est consacrée à l'extraction des identifiants et des secretsCela inclut les données provenant des services cloud ainsi que des outils utilisés quotidiennement par les équipes de développement et d'exploitation. Les plugins de collecte peuvent obtenir les clés SSH, les identifiants Git, les jetons d'accès, les clés API, les mots de passe locaux et même les données stockées par les navigateurs web.
Ces directives visent à garantir que les opérateurs VoidLink disposent de cible prioritaire pour les développeurs, les administrateurs système et le personnel DevOpsL'accès à ces ressources permet généralement d'accéder aux référentiels de code critiques et aux tableaux de bord de gestion. Dans un contexte européen, ce type de menace s'inscrit dans des scénarios d'espionnage industriel ou de préparation d'attaques contre la chaîne d'approvisionnement logicielle.
En plus des plugins d'authentification, le framework propose modules spécifiques pour Kubernetes et DockerCes outils permettent d'énumérer les clusters, de détecter les erreurs de configuration, les tentatives d'évasion de conteneurs et de rechercher les autorisations excessives. Ainsi, un accès initialement limité peut évoluer vers un contrôle beaucoup plus étendu de l'environnement cloud d'une organisation.
Mécanismes anti-forensiques et d'évasion automatisés
VoidLink ne cherche pas seulement à infiltrer, mais aussi effacer la trace de leurs actionsSes plugins anti-forensiques incluent des fonctions permettant de modifier ou de supprimer les entrées de journal, d'effacer l'historique des commandes et de manipuler les horodatages des fichiers (horodatage), rendant ainsi plus difficile l'analyse ultérieure des événements.
L'implant intègre également mécanismes de protection contre l'analyse et la purgeIl peut détecter la présence de débogueurs et d'outils de surveillance avancés, vérifier l'intégrité de son propre code et localiser les points d'entrée potentiels indiquant qu'il est surveillé. S'il détecte des signes de falsification, il peut s'autodétruire et déclencher des routines de nettoyage qui suppriment les fichiers et les traces de son activité.
Un élément particulièrement frappant est l'utilisation de code automodifiable avec chiffrement d'exécutionCertaines sections du programme ne sont déchiffrées qu'en cas de besoin et rechiffrées lorsqu'elles ne sont pas utilisées, ce qui complique la tâche des solutions d'analyse de la mémoire et réduit la fenêtre pendant laquelle le contenu malveillant est visible en clair.
Évaluation des risques basée sur les défenses installées
Le cadre effectue un profilage complet de l'environnement de sécurité Sur chaque machine compromise, il répertorie les produits de protection installés, les technologies de renforcement du noyau et les mesures de surveillance, et calcule à partir de ces informations une sorte de score de risque qui oriente son comportement.
Si VoidLink détecte que le système est fortement protégé, il peut ralentir certaines activitésPar exemple, en évitant les analyses de ports ou les communications avec le serveur C2, il est préférable d'opter pour des techniques moins intrusives. Dans les environnements à faible risque, le système peut fonctionner de manière plus agressive, en privilégiant la rapidité à la discrétion absolue.
Cette capacité d'adaptation automatique correspond à l'objectif déclaré de automatiser autant que possible les tâches d'évasionpermettant aux opérateurs de consacrer plus de temps à la définition des objectifs et moins de temps au réglage manuel des paramètres techniques pour chaque environnement spécifique.
Origine de VoidLink et attribution du projet
Les données recueillies par les analystes indiquent que VoidLink aurait été développé par une équipe sinophoneL'emplacement de l'interface du panneau web, certains commentaires dans le code et les optimisations observées vont dans ce sens, même si, comme c'est souvent le cas dans ce type de recherche, il ne s'agit pas d'une attribution définitive.
La qualité du développement, l'utilisation de plusieurs langages modernes et l'intégration des frameworks web actuels suggèrent Une solide expérience en programmation et une connaissance approfondie des subtilités des systèmes d'exploitation sont requises.Tout ceci renforce l'idée que le projet dépasse le cadre d'une expérience isolée et s'apparente à une plateforme professionnelle maintenue dans le temps.
Parallèlement, le fait qu'ils n'aient pas encore été documentés campagnes d'infection active à grande échelle Cela confirme l'hypothèse selon laquelle le système est en phase de test, est proposé selon des modèles d'accès très restreints, ou n'est utilisé que dans des opérations très ciblées, ce qui le rend difficile à détecter en Europe et dans d'autres régions.
L'apparition de VoidLink confirme que La sophistication des logiciels malveillants ciblant les environnements Linux et cloud progresse rapidement.Ce type d'attaque se rapproche du niveau de maturité des modèles que l'on trouvait jusqu'à récemment principalement dans les outils offensifs pour Windows. Son architecture modulaire, son accent sur l'évasion automatisée et son utilisation des identifiants et des conteneurs en font une menace que toute organisation disposant d'une infrastructure cloud, en Espagne comme ailleurs en Europe, doit prendre très au sérieux.
