2026年1月13日、Check Point Researchは、クラウド環境を標的とする高度なLinuxマルウェアフレームワークであるVoidLinkの分析を公開した。
その後、Threat Research TeamがVoidLinkのバイナリをさらに詳細に調査し、ローダーチェーン、ルートキット内部、制御メカニズムを明らかにした。
調査結果は、従来のLinuxルートキットの展開モデルに根本的な挑戦を突きつける、カーネル間ポータビリティに関する前例のないアプローチを示している。
VoidLinkはServer-Side Rootkit Compilation(SRC)を導入する。これは、コマンド&コントロール(C2)サーバーが各ターゲットの特定のカーネルバージョンに合わせて、必要に応じてカーネルモジュールをビルドするという、前例のない手法である。
このアプローチは、これまでLoadable Kernel Modules(LKM)ルートキットの有効性を制限してきた重大な制約、すなわちカーネルのポータビリティ問題に対処する。
事前コンパイル済みモジュールを埋め込んだり、侵害されたシステム上にビルドツールを要求したりするのではなく、VoidLinkのC2サーバーがモジュールを直接コンパイルする。そして、ターゲットのカーネルバージョンに合わせて調整したものを配信する。
このフレームワークは、カーネルの機能に基づいて展開手法を自動選択し、カーネル6.xではeBPF、5.xシステムではハイブリッドなeBPF-LKMの組み合わせ、古いカーネルではリモートコンパイルしたLKMのロードをサポートする。
このアーキテクチャ上の判断により、シグネチャの肥大化が解消され、被害者インフラからコンパイル時の痕跡を取り除くことで運用セキュリティが簡素化される。
技術分析では、カーネルモジュールのソースコード全体に中国語のコメントが広範に埋め込まれていることが明らかになり、さらに大規模言語モデルの支援と整合する体系的なパターンも確認された。
コードベースにはカーネル開発に関する詳細な知識が含まれており、AI生成のボイラープレートコードも含まれている。
証拠は、70〜80%の確率でAI支援開発が行われたことを示唆している。中国語話者の熟練開発者が、深いカーネル専門知識を維持しつつ、LLMの能力を活用して実装を加速させたとみられる。
ネイティブの中国語コメントは、kallsyms_lookup_nameの非推奨化に対するLinux 5.7互換の回避策を含む、カーネルサブシステムに関する真の知識を示している。
このハイブリッド開発モデルは、高度な攻撃能力が、人間の専門性とAIによる加速を組み合わせるという、新たな脅威パターンを表している。
VoidLinkはセキュリティ製品を積極的にプロファイリングし、リアルタイムで挙動を調整する。CrowdStrike、SentinelOne、Carbon Black、Falco、Sysdigを含む、14種類の異なるエンドポイント検知製品をスキャンする。
検知されると、インプラントは「パラノイドモード」に切り替わり、ビーコン遅延を4096msから最大5000msへ延長し、ジッターを30%にする。これは、アグレッシブモードにおける最大1000ms・ジッター20%と比較したものだ。
このフレームワークは、3つの独立した制御チャネルを実装している。0x564Cのマジック値を用いたprctlシステムコールフック、eBPFベースのステルスのためのBerkeley Packet Filterマップ更新、そして0xC0DEのマジックIDを持つエコーパケットを用いたICMP秘匿チャネルである。
この冗長性により、主要な通信経路が遮断されても永続性が確保される。VoidLinkはmemfd_createとexecveatを用いてファイルレス実行を行い、匿名のメモリファイルを作成し、ディスクに永続化することなくファイルディスクリプタから直接ペイロードを実行する。
このインプラントには、Docker環境、Kubernetesデプロイメント、AWS、GCP、Alibaba、Tencent Cloudなどのクラウドプラットフォームを識別する、専用のコンテナ検知および脱出機能が含まれている。
コンテナ脱出プラグインは特権コンテナ構成やマウントされたDockerソケットを探索し、Kubernetesの権限昇格モジュールはRBACの設定不備や過度に許可されたサービスアカウントトークンをスキャンする。
これらのクラウドネイティブ機能により、隔離境界が主要なセキュリティ境界として機能するコンテナ化インフラに対して、VoidLinkは深刻な脅威となる。
高度な回避手法にもかかわらず、VoidLinkはランタイム監視ツールで検知可能な特徴的なシステムコールパターンを示す。ユーザーは、ドロッパーのmemfd_create操作、カーネルモジュール注入の試行、およびeBPFプログラムのロード活動を特定できる。
デフォルトのFalcoルールセットには、memfd_createによるファイルレス実行の検知が含まれており、プロセス名の偽装のための不審なprctl呼び出しをフラグ付けする。
組織は、マジックID 0xC0DEを持つICMPエコー要求を監視し、bpfシステムコールによるeBPFプログラムのロードを検査し、一時ディレクトリからのカーネルモジュールのロードを監査すべきである。
VoidLinkは、Zigで書かれた中国語のマルウェアとして初めて文書化された事例である。この新興プログラミング言語は、ガベージコレクションなしでのメモリ安全性と、組み込みのクロスコンパイル機能を提供すると、sysdigが報告している。
Zigのバイナリは、従来のC/C++実行ファイルよりも構造が認識されにくく、Zig特有のパターンに不慣れなシグネチャベースの検知エンジンを混乱させる可能性がある。
この選択は、意図的な脅威アクターのトレードクラフトを反映している。静的リンクされたZigバイナリはランタイム依存関係を排除し、Zigバイナリ形式にまだ調整されていない検知ヒューリスティクスに対してステルス上の利点を提供する。
VoidLinkのアーキテクチャの高度さ、クラウドネイティブな焦点、適応的な回避能力の組み合わせは、重要な運用セキュリティ意識を備えた成熟した脅威オペレーションを示唆している。
Linuxインフラを運用する組織は、振る舞い検知の導入を優先し、技術分析で詳述された指標に対して警戒を維持すべきである。
翻訳元: https://cyberpress.org/voidlink-rootkit-server-side-kernel-ai-assisted-code/