Investigadores de ciberseguridad han revelado detalles de un marco de malware rico en funciones y previamente indocumentado cuyo nombre en código Enlace vacío que está diseñado específicamente para un acceso sigiloso a largo plazo a entornos de nube basados en Linux
Según un nuevo informe de Check Point Research, el marco de malware de Linux nativo de la nube comprende una serie de cargadores personalizados, implantes, rootkits y complementos modulares que permiten a sus operadores aumentar o cambiar sus capacidades con el tiempo, así como girar cuando cambian los objetivos. Fue descubierto por primera vez en diciembre de 2025.
«El marco incluye múltiples capacidades y módulos centrados en la nube, y está diseñado para operar de manera confiable en entornos de nube y contenedores durante períodos prolongados», dijo la empresa de ciberseguridad. dicho en un análisis publicado hoy. «La arquitectura de VoidLink es extremadamente flexible y altamente modular, centrada en una API de complemento personalizada que parece estar inspirada en el enfoque Beacon Object Files (BOF) de Cobalt Strike. Esta API se utiliza en más de 30 módulos de complemento disponibles de forma predeterminada».
Los hallazgos reflejan un cambio en el enfoque de los actores de amenazas de los sistemas Windows a Linux que se han convertido en la base de los servicios en la nube y las operaciones críticas. Se considera que VoidLink, que se mantiene y evoluciona activamente, es obra de actores de amenazas afiliados a China.
Un implante basado en la nube escrito en el Zig lenguaje de programación, el kit de herramientas puede detectar los principales entornos de nube, a saber. Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba y Tencent, y adapta su comportamiento si reconoce que se está ejecutando dentro de un contenedor Docker o un pod de Kubernetes. También puede recopilar credenciales asociadas con entornos de nube y sistemas populares de control de versiones de código fuente como Git.
 |
| Descripción general de alto nivel de VoidLink |
El objetivo de estos servicios es una indicación de que VoidLink probablemente esté diseñado para atacar a los desarrolladores de software, ya sea con la intención de robar datos confidenciales o aprovechar el acceso para realizar ataques a la cadena de suministro.
Algunas de sus otras capacidades se enumeran a continuación:
- Funciones similares a Rootkit que utilizan LD_PRELOADmódulo del kernel cargable (LKM), y eBPF para ocultar sus procesos según la versión del kernel de Linux
- Un sistema de complementos en memoria para ampliar la funcionalidad
- Compatibilidad con diversos canales de comando y control (C2), como HTTP/HTTPS, WebSocket, ICMP y túnel DNS
- Forme una red peer-to-peer (P2P) o de estilo malla entre hosts comprometidos
Un panel chino basado en la web que permite a los atacantes controlar de forma remota el implante, crear versiones personalizadas sobre la marcha, administrar archivos, tareas y complementos, y llevar a cabo diferentes etapas del ciclo de ataque desde el reconocimiento y la persistencia hasta el movimiento lateral y la evasión de defensa eliminando rastros de actividad maliciosa.
 |
| Panel de creación para crear versiones personalizadas de VoidLink |
VoidLink admite 37 complementos que abarcan análisis forense, reconocimiento, contenedores, escalada de privilegios, movimiento lateral y otros, transformándolo en un marco completo posterior a la explotación.
- Antiforense, para borrar o editar registros e historial de shell en función de palabras clave y realizar controles de tiempo de archivos para dificultar el análisis.
- Nube, para facilitar el descubrimiento de Kubernetes y Docker y la escalada de privilegios, escapes de contenedores y búsquedas de configuraciones erróneas.
- Recolección de credenciales, para recopilar credenciales y secretos, incluidas claves SSH, credenciales de git, material de contraseña local, credenciales del navegador y cookies, tokens y claves API.
- Movimiento lateral, para propagarse lateralmente usando un gusano basado en SSH
- Persistencia, para ayudar a establecer la persistencia a través del abuso de enlazadores dinámicos, trabajos cron y servicios del sistema.
- Recon, para recopilar información detallada del sistema y del entorno.
Al describirlo como «impresionante» y «mucho más avanzado que el típico malware de Linux», Check Point dijo que VoidLink presenta un componente central de orquestación que maneja las comunicaciones C2 y la ejecución de tareas.
También incorpora una serie de funciones antianálisis para evitar la detección. Además de marcar varios depuradores y herramientas de monitoreo, puede eliminarse a sí mismo si se detecta algún signo de manipulación. También presenta una opción de código de modificación automática que puede descifrar regiones de código protegidas en tiempo de ejecución y cifrarlas cuando no están en uso, sin pasar por los escáneres de memoria en tiempo de ejecución.
Es más, el marco de malware enumera los productos de seguridad instalados y las medidas de refuerzo en el host comprometido para calcular una puntuación de riesgo y llegar a una estrategia de evasión general. Por ejemplo, esto puede implicar ralentizar los escaneos de puertos y tener un mayor control en entornos de alto riesgo.
«Los desarrolladores demuestran un alto nivel de experiencia técnica, con un gran dominio de múltiples lenguajes de programación, incluidos Go, Zig, C y marcos modernos como React», señaló Check Point. «Además, el atacante posee un conocimiento profundo de los sofisticados sistemas operativos internos, lo que permite el desarrollo de soluciones avanzadas y complejas».
«VoidLink tiene como objetivo automatizar la evasión tanto como sea posible, perfilando un entorno y eligiendo la estrategia más adecuada para operar en él. Ampliado por el modo kernel y un vasto ecosistema de complementos, VoidLink permite a sus operadores moverse a través de entornos de nube y ecosistemas de contenedores con sigilo adaptable».
Fuente