VoidLinkは、高度なステルス機構と自己削除機能を備え、クラウドおよびコンテナ環境を標的とするよう設計された洗練されたLinux向けマルウェアフレームワークです。
2025年12月に発見されたこのフレームワークは、中国系とみられる開発者によるものと考えられています。Linuxを標的とする脅威における大きな進化を示しています。
VoidLinkはZigで書かれた完全なコマンド&コントロール(C2)フレームワークとして動作し、カスタムローダー、インプラント、ルートキット、30以上のモジュール式プラグインモジュールを備えています。
このフレームワークの設計はCobalt StrikeのBeacon Object Filesのアプローチに似ており、柔軟なプラグインAPIを用いて機能を迅速に拡張できるようになっています。
このモジュール式アーキテクチャにより、オペレーターは特定の環境や標的に合わせてマルウェアの機能を調整できます。
このフレームワークは卓越した技術的洗練度を示しており、開発者はGo、Zig、C、そしてReactのような最新フレームワークに精通していることがうかがえます。
コードベースはOS内部への深い知識を示しており、カーネルレベルのエクスプロイトや高度な秘匿技術の開発を可能にしています。
VoidLinkはAWS、GCP、Azure、Alibaba、Tencentなど主要なクラウドプロバイダーを自動検出し、ベンダーAPIを通じてインスタンスのメタデータを照会します。
このフレームワークはコンテナ化環境を識別し、DockerコンテナやKubernetesポッドを検出したうえで、それに応じて挙動を適応させます。
このクラウドネイティブな焦点は、潜在的な諜報活動やサプライチェーン攻撃のために、ソフトウェアエンジニアやクラウドインフラ運用者を標的としていることを示唆します。
このマルウェアは、実行時コード暗号化、検出されたセキュリティ製品に基づく適応的な挙動、包括的な自己削除機能など、複数の防御機構を採用しています。
改ざんやセキュリティ監視を検知すると、VoidLinkは自動的に自己削除し、コマンド履歴、ログイン記録、システムログを消去し、ファイルをランダムデータで上書きすることでフォレンジック証拠を破壊します。
このフレームワークはHTTP/HTTPS、WebSocket、DNS、ICMPトンネリングなど多様なC2チャネルをサポートします。侵害されたホスト間でのピアツーピア・メッシュネットワーキングを可能にします。
Checkpointが報告したところによると、Webベースのダッシュボードは中国語にローカライズされたオペレーター向け操作画面を提供し、偵察、認証情報へのアクセス、永続化、ラテラルムーブメント、証拠破壊の各セクションを備えています。
2026年1月時点では、実環境での感染は確認されていません。しかし、このフレームワークの成熟した設計、統合されたC2サーバー、運用ダッシュボード、広範なプラグインエコシステムは、商用展開が差し迫っていることを示唆しています。
このフレームワークはクラウド環境における長期的なアクセスと監視能力を狙っており、Linux脅威ランドスケープの高度化における顕著な進展を示しています。
翻訳元: https://cyberpress.org/voidlink-cloud-native-linux-malware-self-deletion/