AIによって作成された複雑なVoidLink Linuxマルウェア

出典：Nico El Nino / Alamy Stock Photo

Linuxシステムを標的とする高度なクラウドファーストのマルウェア・フレームワークが、ほぼ全面的に人工知能（AI）によって作成された。これは、先進的なマルウェア開発における同技術の利用が大きく進化していることを示す動きだ。

VoidLink — さまざまなクラウド重視の機能とモジュールで構成され、Linuxシステムへの長期的な永続アクセスを維持するよう設計されている — は、AIによって完全にオリジナルのマルウェアが開発された初の事例だと、これを発見し先週マルウェア・フレームワークの詳細を公表したCheck Point Researchは述べている。 

AI生成のマルウェアは他にも存在するが、通常は「FunkSecのケースのように経験の浅い脅威アクターに結び付けられているか、あるいは既存のオープンソースのマルウェアツールの機能を大部分でなぞったものだった」と、Check Pointが火曜日に公開した追補のブログ投稿で述べている。実際、他のAI生成マルウェアには暗号資産マイナーのKoskeがあり、これは手本にできる別のマイナーが存在していた。

しかしCheck Pointの研究者は、VoidLinkの「成熟度の高さ、高機能性、効率的なアーキテクチャ、そして柔軟で動的な運用モデル」に強い印象を受けたという。フレームワークが主としてAI生成であることを突き止めた後、Check Pointは、熟練したマルウェア開発者がAIツールで成し得ることについて警鐘を鳴らしていると、投稿は伝えている。

「本件は、AIが単独のアクターに、以前は連携したチームを要した速度で複雑なシステムを計画・構築・反復させ得る危険性を浮き彫りにしている。結果として、従来は高リソースの脅威アクターからしか生じなかった高複雑度の攻撃を常態化させてしまう」とCheck Pointは記した。 

Check Pointの調査はまた、新種のLinuxマルウェアがどのように開発されたのか、その開発にAIが果たした役割、そして複雑な新たな脅威の背後にいる開発者の思考プロセスについても、独自の視点を提供した。

OPSECの失敗がVoidLinkのAI由来を露呈

このマルウェア・フレームワークは、特定されていない中国のアクターが関与している疑いがあり、カスタムローダー、インプラント、ルートキット、およびモジュール式プラグインを含む。また、Linux環境をプロファイリングし、検知されずに動作するための最適な戦略を知的に選択することで、可能な限り回避を自動化している。

実際、Check Pointの研究者がVoidLinkをリアルタイムで追跡したところ、機能する開発ビルドのように見えたものが、短期間で完全稼働する包括的なモジュール式フレームワークへと急速に変貌していく様子を確認した。

しかし、マルウェア自体は当初から高機能だった一方で、VoidLinkの作成者は実行面でやや杜撰だったことが判明した。研究者によれば、開発者による一連の運用セキュリティ（OPSEC）の失敗により開発アーティファクトが露出し、それを手掛かりにVoidLinkの開発の足跡をAI起源まで遡ることができたという。 

これらのアーティファクトは、開発者が作成プロセスにおいて一定のパターンに従っていたことを示唆していた。すなわち、一般的なガイドラインと既存のコードベースに基づいてプロジェクトを定義し、AIサービスにそれらのガイドラインをアーキテクチャへ落とし込み、詳細なコーディング指針と制約を伴う3つの別チームにまたがる計画を構築させ、最後にエージェントを実行して実装を進める、という流れである。

「これらの資料は、マルウェアが主としてAI主導の開発によって作られ、1週間足らずで最初の機能するインプラントに到達したことを示す明確な証拠を提供している」と投稿は述べている。

TRAE SOLOでVoidLinkを構築

Check Pointは12月、これまで見られなかった未成熟なLinuxマルウェアサンプルのクラスターからVoidLinkを発見したが、その開発は2025年11月下旬に始まった可能性が高いとみている。開発者は、AI中心の統合開発環境（IDE）であるTRAEに組み込まれたAIアシスタント「TRAE SOLO」を使用していた。 

Check Pointの研究者は、モデルに与えられた当初の指示の重要部分を保持するヘルパーファイルを確認した。これらはマルウェアのソースコードと一緒に脅威アクターのサーバーへコピーされたように見えたという。その後、オープンディレクトリが露出していたためにそれらが表面化し、CheckPointによれば、研究者は「プロジェクト最初期の指示に対して異例なほど直接的な可視性」を得た。

このケースでは、TRAEが中国語の指示書を生成しており、冒頭の指示はVoidLinkを直接構築することではなく、薄い骨格（スケルトン）を中心に設計し、それを動作するプラットフォームへ仕上げるための具体的な実行計画を作成することだったことを示唆していた。 

「このアプローチが純粋に実務的で、プロセスを効率化する意図によるものなのか、それとも初期段階でガードレールを回避し、後にエンドツーエンドのマルウェア開発を可能にするための意図的な『脱獄（jailbreak）』戦略なのかは不明だ」とCheck Pointは述べている。

研究者はまた、中国語で書かれMarkdownファイルとして提供されていた内部計画資料も発見した。そこには「大規模言語モデル（LLM）の特徴がすべて見て取れる。高度に構造化され、書式が一貫しており、例外的に詳細だ」とされている。文書にはスケジュール、機能の内訳、コーディング指針などが含まれ、VoidLinkの開発が3つの別々の開発チームに分けて担当されていたことを示す証拠もあった。

AI生成マルウェアの未来は、いま現実に

Check Pointによれば、防御側にとって、AIが悪意あるアクターの「戦力増幅装置（フォース・マルチプライヤー）」になっていることは驚くべきことではない。しかしこれまで、AI主導の活動は洗練されていない作戦や経験の浅いアクターによるものだった。VoidLinkは「その基準線を押し上げ」、脅威アクターがマルウェアを開発し悪意ある活動を行う速度と規模をどのように増幅できるかを示している、とCheck Pointは述べた。  

「完全にAIが統率する攻撃ではないものの、VoidLinkは、長らく待ち望まれてきた高度なAI生成マルウェアの時代が始まった可能性が高いことを示している」とブログ投稿は述べている。

これは、防御側も同様に対応し、マルウェアやその他のセキュリティ脅威の検知と阻止を支援するAI強化型セキュリティソリューションを活用しなければならないことを意味すると、研究者は指摘した。VoidLinkのAI起源の発見はまた、Check Pointによれば、どれほど多くの他のAI生成マルウェアがすでに存在し、近い将来、手強い敵として現場に出てくるのかという新たな疑問も投げかけている。 

「私たちがその真の開発の経緯を突き止められたのは、開発者の環境を垣間見るという稀な機会があったからだ。これは、ほとんど得られない可視性である」と研究者は記した。「では、AIを使って構築されたにもかかわらず、それを示すアーティファクトを何も残していない高度なマルウェア・フレームワークが、他にどれほど存在するのだろうか？」