- Check Point Researchが30以上のプラグインを備えた高度なLinuxマルウェア・フレームワークを発見
- VoidLinkはクラウド環境を標的にし、認証情報を収集してAWS、Azure、GCPなどに適応
- 現時点で実害は確認されていないが、中国の国家関連とみられる開発で、スパイ活動と永続的アクセスが目的の可能性
Check Point Research(CPR)は、VoidLinkと呼ばれる、これまで知られていなかった異例に高度なLinuxマルウェア・フレームワークを発見した。
詳細なレポートでCPRは、VoidLinkがローダー、インプラント、ルートキット、そして30以上のモジュール式プラグインを備えた完全なコマンド&コントロール(C2)プラットフォームであるため、懸念すべき存在だと述べている。
これらの機能はすべて、攻撃者が侵害されたシステムをステルスに、永続的に、長期にわたって制御できるよう設計されており、2025年末の時点でも開発が続けられていた。
ハッカーは何かを準備しているのか?
VoidLinkはクラウド優先のソリューションだとCPRは説明した。展開後、マルウェアは環境のフィンガープリントを行い、AWS、Azure、GCP、Alibaba、Tencent Cloudのいずれで動作しているか、またDockerコンテナやKubernetesポッド内にいるかどうかを判定する。
その後、挙動を適応させ、クラウドのメタデータ、API認証情報、Git認証情報、トークン、シークレットを収集する。総合的に見て、DevOpsエンジニアやクラウド管理者が最も狙われやすい標的だと思われる。
VoidLinkは非常にステルス性が高い。ホストシステムをプロファイリングし、セキュリティツールを検出し、リスクスコアを算出して、それによりどれほど積極的に、あるいは静かに動作できるかを決定する。あるシステムではポートやネットワーク通信をスキャンするが、別のシステムでは行わない――標的システムがどれほど厳重に守られているかに応じて変わる。
現時点では、このフレームワークが実環境で悪用されている証拠はないとCPRは述べている。これは2つの可能性を意味する――開発者が現在ソリューションを構築中で、将来的に販売(またはレンタル)する計画があるか、あるいは単一の高額顧客のために開発しているかだ。
いずれにせよ、開発者は中国人であり、しかも国家関連である可能性が高い。もしそれが事実なら、このフレームワークはサイバースパイ活動、データ窃取、永続的アクセスを念頭に開発されている可能性が高い。
「機能の数の多さとモジュール式アーキテクチャは、作者が洗練された現代的で機能豊富なフレームワークを作ろうとしていたことを示している」とCheck Pointの研究者は結論づけた。
