El sofisticado marco de malware para Linux recientemente descubierto conocido como Enlace vacío Se considera que ha sido desarrollado por una sola persona con la ayuda de un modelo de inteligencia artificial (IA).
Eso es según nuevos hallazgos de Check Point Research, que identificó errores de seguridad operativa por parte del autor del malware que proporcionaron pistas sobre sus orígenes de desarrollo. La información más reciente convierte a VoidLink en uno de los primeros casos de malware avanzado generado en gran medida mediante inteligencia artificial.
«Estos materiales proporcionan evidencia clara de que el malware se produjo predominantemente a través de un desarrollo impulsado por IA, alcanzando un primer implante funcional en menos de una semana», dijo la compañía de ciberseguridad, agregando que alcanzó más de 88.000 líneas de código a principios de diciembre de 2025.
Enlace vacío, primero documentado públicamente la semana pasada, es un marco de malware rico en funciones escrito en Zig que está diseñado específicamente para un acceso sigiloso a largo plazo a entornos de nube basados en Linux. Se dice que el malware proviene de un entorno de desarrollo afiliado a China. Al momento de escribir este artículo, el propósito exacto del malware aún no está claro. Hasta la fecha no se han observado infecciones en el mundo real.
Un análisis de seguimiento de Sysdig fue el primero en resaltar el hecho de que el conjunto de herramientas puede haber sido desarrollado con la ayuda de un modelo de lenguaje grande (LLM) bajo las instrucciones de un ser humano con amplios conocimientos de desarrollo del kernel y experiencia en el equipo rojo, citando cuatro piezas de evidencia diferentes:
- Salida de depuración demasiado sistemática con formato perfectamente consistente en todos los módulos
- Los datos de marcador de posición («John Doe») son típicos de los ejemplos de capacitación de LLM integrados en plantillas de respuesta señuelo.
- Versionado uniforme de API donde todo es _v3 (por ejemplo, BeaconAPI_v3, docker_escape_v3, timestomp_v3)
- Respuestas JSON tipo plantilla que cubren todos los campos posibles
«El escenario más probable: un desarrollador experto de habla china utilizó IA para acelerar el desarrollo (generando texto estándar, registro de depuración, plantillas JSON) mientras proporcionaba la experiencia y la arquitectura de seguridad», señaló el proveedor de seguridad en la nube a fines de la semana pasada.
El informe del martes de Check Point respalda esta hipótesis, afirmando que identificó artefactos que sugieren que el desarrollo en sí mismo fue diseñado utilizando un modelo de IA, que luego se usó para construir, ejecutar y probar el marco, convirtiendo efectivamente lo que era un concepto en una herramienta de trabajo dentro de una línea de tiempo acelerada.
 |
| Descripción general de alto nivel del proyecto VoidLink |
«El enfoque general para desarrollar VoidLink puede describirse como desarrollo impulsado por especificaciones (SDD)», señaló. «En este flujo de trabajo, un desarrollador comienza especificando lo que está creando, luego crea un plan, lo divide en tareas y sólo entonces permite que un agente lo implemente».
Se cree que el actor de amenazas comenzó a trabajar en VoidLink a fines de noviembre de 2025, aprovechando un agente de codificación conocido como TRAE EN SOLITARIO para realizar las tareas. Esta evaluación se basa en la presencia de archivos auxiliares generados por TRAE que se copiaron junto con el código fuente en el servidor del actor de la amenaza y luego se filtraron en un directorio abierto expuesto.
Además, Check Point dijo que descubrió material de planificación interna escrito en chino relacionado con cronogramas de sprints, desgloses de funciones y pautas de codificación que tienen todas las características del contenido generado por LLM: bien estructurado, con formato consistente y meticulosamente detallado. Uno de esos documentos que detalla el plan de desarrollo se creó el 27 de noviembre de 2025.
Se dice que la documentación ha sido reutilizada como un plan de ejecución para que el LLM siga, cree y pruebe el malware. Check Point, que replicó el flujo de trabajo de implementación utilizando el IDE TRAE utilizado por el desarrollador, descubrió que el modelo generaba código que se parecía al código fuente de VoidLink.
 |
| Plan de desarrollo traducido para tres equipos: Core, Arsenal y Backend |
«Una revisión de las instrucciones de estandarización del código con el código fuente recuperado de VoidLink muestra un nivel sorprendente de alineación», dijo. «Las convenciones, la estructura y los patrones de implementación coinciden tan estrechamente que deja poco lugar a dudas: el código base se escribió siguiendo esas instrucciones exactas».
El desarrollo es otra señal más de que, si bien la IA y los LLM pueden no equipar a los malos actores con capacidades novedosas, pueden reducir aún más la barrera de entrada al delito cibernético, empoderando incluso a un solo individuo para imaginar, crear e iterar sistemas complejos rápidamente y realizar ataques sofisticados, simplificando lo que alguna vez fue un proceso que requirió una cantidad significativa de esfuerzo y recursos y que solo estaba disponible para adversarios de estados-nación.
«VoidLink representa un cambio real en cómo se puede crear malware avanzado. Lo que se destacó no fue sólo la sofisticación del marco, sino la velocidad a la que fue construido», dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con The Hacker News.
«La IA permitió que lo que parece ser un solo actor planifique, desarrolle e itere una plataforma de malware compleja en días, algo que anteriormente requería equipos coordinados y recursos significativos. Esta es una señal clara de que la IA está cambiando la economía y la escala de las amenazas cibernéticas».
En un documento técnico publicado esta semana, Group-IB descrito La IA impulsa una «quinta ola» en la evolución del delito cibernético y ofrece herramientas listas para usar para permitir ataques sofisticados. «Los adversarios están industrializando la IA, convirtiendo habilidades que alguna vez fueron especializadas, como la persuasión, la suplantación y el desarrollo de malware, en servicios bajo demanda disponibles para cualquier persona con una tarjeta de crédito», afirmó.
La empresa de ciberseguridad con sede en Singapur señaló que las publicaciones en foros de la web oscura con palabras clave de IA han experimentado un aumento del 371% desde 2019, con publicidad de los actores de amenazas. LLM oscuros como IA de Nytheon que no tienen restricciones éticas, marcos de jailbreak y kits de identidad sintéticos que ofrecen actores de vídeo con IA, voces clonadas e incluso conjuntos de datos biométricos por tan solo 5 dólares.
«La IA ha industrializado el cibercrimen. Lo que alguna vez requirió operadores capacitados y tiempo ahora se puede comprar, automatizar y escalar a nivel mundial», afirmó Craig Jones, ex director de cibercrimen de INTERPOL y asesor estratégico independiente.
«Si bien la IA no ha creado nuevos motivos para los ciberdelincuentes (el dinero, el apalancamiento y el acceso aún impulsan el ecosistema), ha aumentado drásticamente la velocidad, la escala y la sofisticación con la que se persiguen esos motivos».
Fuente