2025年12月、Check Point Research(CPR)のサイバーセキュリティ専門家が、VoidLinkと呼ばれる高度な新ツールキットを発見しました。多くのハッカーがWindowsを狙う一方で、VoidLinkは大企業が利用するLinuxベースのクラウド環境内に潜むことを前提に設計された、クラウドファーストの脅威です。
調査によると、開発者は中国と関係のあるグループである可能性が高く、卓越した技術力を有しています。Zig、Go、C、Reactといった言語に精通しており、標的を制御するための中国語のプロフェッショナルなWebダッシュボードまで作成していました。
VoidLinkの動作
VoidLinkは驚くほど賢いマルウェアです。システムに感染すると、自動的にAmazon(AWS)、Google Cloud、Microsoft Azure、Alibaba、Tencent上で動作しているかどうかを確認します。さらに、このリストをDigitalOceanやHuaweiまで拡張する計画もあります。
侵入後はデジタルスパイとして振る舞います。研究者によれば、SSHキーやGitのログイン情報など、ソフトウェアエンジニアが使用する「認証情報」(実質的には秘密鍵)を探し回ります。また、企業が最新アプリを動かすための基盤であるDockerやKubernetesのようなコンテナ内に潜伏することも可能です。
高度なステルスと隠蔽
研究者は、VoidLinkが変装の達人であると指摘しています。検出したLinuxのバージョンに応じて、LD_PRELOAD、eBPF、LKMの3つの異なる隠蔽手法を使い分けます。オペレーターと通信するために、VoidStreamと呼ばれる独自プロトコルを使用します。このプロトコルは盗んだデータを偽装し、画像(PNG)や標準的なコード(JS/CSS)といった無害なWebサイトのファイルのように見せかけます。
さらに調査を進めると、このソフトウェアは37個のプラグインからなるシステムを備え、非常に「モジュール化」されていることが判明しました。これにより、証拠を消すためのツールや、自分たちのアクセス権限を引き上げる機能など、新機能をその場で追加できるのです。
適応型の防御回避
一般に多くのマルウェアは静的ですが、VoidLinkは適応型ステルスを用います。セキュリティソフトをスキャンし、環境にリスクスコアを付けます。リスクが高い場合は、目立たないように動作を遅くします。さらに、他の感染コンピュータとメッシュネットワークを形成し、オープンインターネットへ直接接続せずにメッセージを中継することもできます。
おそらく最も印象的なのは、VoidLinkがセキュリティ専門家による解析を検知すると、証拠を残さないよう自己削除する点です。現時点では実被害は報告されていないものの、研究者は、このコードが非常に洗練され、ドキュメントも整備されているため、他の犯罪者に販売する目的で作られた可能性すらあると指摘しています。いずれにせよ、専門家は企業に対し、この新たな脅威に備えてクラウド防御を強化するよう呼びかけています。
(写真:UnsplashのGrowtika)
翻訳元: https://hackread.com/china-voidlink-linux-malware-cloud-providers/
