VoidLinkは、Linuxシステムを標的とし、攻撃者がオンデマンドでツールを作成できるようにする最先端のモジュラーフレームワークである。
このクラウドネイティブなマルウェアは、AI支援開発と高度なステルス機能の使用で際立っており、脅威アクターがインプラントを管理する方法における転換点を示している。
Cisco Talosは、このグループを少なくとも2019年から活動しているUAT-9921として追跡しており、VoidLinkの展開は2025年9月から2026年1月にかけて観測されている。
このアクターは、盗まれた認証情報やApache DubboにおけるJavaシリアライゼーションの欠陥などのエクスプロイトを介して初期アクセスを獲得し、その後、侵害されたサーバーにVoidLinkのコマンド・アンド・コントロール(C2)をインストールする。
これらのサーバーは、内部および外部の偵察のためにSOCKSプロキシ経由でFSCANなどのツールを使用してスキャンを開始し、横方向の移動を支援する。
被害者はテクノロジー企業や金融サービスにまたがるが、広範なクラスCネットワークスキャンは、標的型作戦ではなく日和見的な攻撃を示唆している。中国語のコードとAI IDEの使用の証拠はその起源を示しているが、侵害後の戦術は依然として伝統的なものである。
オペレーターは、カーネルモジュールおよび直接インプラントツールのソースコードにアクセスでき、開発と運用の重複を示唆している。
Talosは侵害手法について高い信頼性を示しているが、VoidLinkの監査ログとSuperAdmin、Operator、Viewerの役割を持つロールベースのアクセス制御(RBAC)のため、レッドチームの使用を排除することはできない。
VoidLinkのインプラントは、コアにZig、プラグインにC、バックエンドにGoを使用し、多様なLinuxディストリビューションに対するオンデマンドコンパイルをサポートしている。
この単一ファイル設計はCobalt StrikeやSliverを彷彿とさせる。しかし、完全なアクション監査や監視のためのRBACなど、「防衛請負業者グレード」の特典が追加されている。
EDRツール、Kubernetes、またはDockerを検出し、監視されている場所でのスキャンを遅くするか、他の場所で速度を優先するなど、回避策を適応させる。
eBPFまたはロード可能なカーネルモジュール(LKM)を介したルートキットはアクティビティを隠し、コンテナエスケープやサンドボックス破壊と併用される。メッシュP2Pにより、インプラントはファイアウォールをバイパスする隠しネットワークを形成できる。
プラグインは偵察、認証情報のダンプ、横方向の移動、ログワイプなどのアンチフォレンジックを処理する。C2チャネルには、HTTP/2、WebSocket、DNS、ICMPがあり、VoidStream暗号化を使用し、データはPNGブロブやAPIトラフィックに隠される。
アンチ解析はデバッガーをチェックし、改ざん時に自己削除する。Windowsコンパイルのヒントは存在するが、IoTとクラウドへの依存に適合するLinuxが支配的である。
Check Point Researchは2025年後半にVoidLinkを発見し、その2か月という急速な構築を、短期間で88,000行を生成したLLM駆動のIDEと結び付けている。
これは、ManjusakaやAlchimistなどのフレームワークから進化しており、単一ファイルのシンプルさを維持しながら、オンデマンドプラグインを追加している。
防御側は、認証情報をローテーションし、Javaサービスにパッチを適用し、ネットワークをセグメント化し、新しいSOCKS、スキャン、またはビーコンランタイムツールを監視する必要がある。Falcoのようなツールは、ルートキットのロードやmemfdの使用を検出する。VoidLinkの柔軟性は、Linux攻撃における強力なプレーヤーとしての地位を確立している。
翻訳元: https://cyberpress.org/voidlink-transforms-tool-creation/