Los investigadores de ciberseguridad han revelado detalles de un marco de malware previamente no documentado y rico en funciones, cuyo nombre en código es VoidLink, que está diseñado específicamente para el acceso sigiloso a largo plazo a entornos de nube basados en Linux.
Según un nuevo informe de Check Point Research, este framework de malware para Linux, nativo de la nube, comprende una serie de cargadores personalizados, implantes, rootkits y complementos modulares que permiten a sus operadores aumentar o modificar sus capacidades con el tiempo, así como adaptarse a cambios de objetivos. Fue descubierto por primera vez en diciembre de 2025.
"El framework incluye múltiples capacidades y módulos centrados en la nube, y está diseñado para funcionar de forma fiable en entornos de nube y contenedores durante periodos prolongados", declaró la empresa de ciberseguridad en un análisis publicado hoy. "La arquitectura de VoidLink es extremadamente flexible y altamente modular, centrada en una API de complemento personalizada que parece estar inspirada en el enfoque tipo Beacon Object Files (BOF) de Cobalt Strike. Esta API se utiliza en más de 30 módulos de complemento disponibles por defecto".
Los hallazgos reflejan un cambio en el enfoque de los actores de amenazas, de los sistemas Windows a los sistemas Linux, que se han convertido en la base de los servicios en la nube y las operaciones críticas. VoidLink, que se mantiene y evoluciona activamente, se considera obra de actores de amenazas afiliados a China.
Este kit de herramientas, un implante orientado a la nube y escrito en el lenguaje de programación Zig, puede detectar los principales entornos de nube, como Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba y Tencent, y adaptar su comportamiento si reconoce que se ejecuta en un contenedor Docker o un pod de Kubernetes. También puede recopilar credenciales asociadas con entornos de nube y sistemas populares de control de versiones de código fuente como Git.
El hecho de que estos servicios sean el objetivo indica que VoidLink probablemente esté diseñado para atacar a desarrolladores de software, ya sea con la intención de robar datos confidenciales o aprovechar el acceso para realizar ataques a la cadena de suministro.
Según otros hallazgos de Check Point, que identificó errores de seguridad operativa por parte del creador del malware, los cuales proporcionaron pistas sobre sus orígenes. Se estima que el sofisticado framework de malware para Linux, fue desarrollado por una sola persona con la ayuda de un modelo de inteligencia artificial (IA). Se cree que el actor de amenazas comenzó a trabajar en VoidLink a finales de noviembre de 2025, utilizando un agente de codificación conocido como TRAE SOLO para llevar a cabo las tareas. Esta evaluación se basa en la presencia de archivos auxiliares generados por TRAE que se copiaron junto con el código fuente al servidor del actor de amenazas y posteriormente se filtraron en un directorio abierto expuesto.
"Estos materiales proporcionan evidencia clara de que el malware se produjo principalmente mediante desarrollo impulsado por IA, alcanzando un primer implante funcional en menos de una semana", declaró la empresa de ciberseguridad, añadiendo que alcanzó más de 88.000 líneas de código a principios de diciembre de 2025.
A continuación se enumeran algunas de sus otras capacidades:
- Funciones similares a las de un rootkit que utilizan LD_PRELOAD, módulo de kernel (LKM) y eBPF para ocultar sus procesos según la versión del kernel de Linux.
- Un sistema de complementos en memoria para ampliar la funcionalidad.
- Compatibilidad con diversos canales de comando y control (C2), como HTTP/HTTPS, WebSocket, ICMP y tunelización DNS.
- Formación de una red Peer-to-Peer (P2P) o de tipo malla entre hosts comprometidos.
Un panel de control web chino que permite a los atacantes controlar remotamente el implante, crear versiones personalizadas sobre la marcha, gestionar archivos, tareas y complementos, y llevar a cabo diferentes etapas del ciclo de ataque, desde el reconocimiento y la persistencia hasta el movimiento lateral y la evasión de defensas mediante la eliminación de rastros de actividad maliciosa.
VoidLink admite 37 complementos que abarcan análisis forense, reconocimiento, contenedores, escalamiento de privilegios, movimiento lateral y otros, lo que lo convierte en un marco completo de postexplotación.
- Análisis forense: borra o edita registros e historial de shell según palabras clave y realiza marcas de tiempo en los archivos para dificultar el análisis.
- Nube: facilita el descubrimiento de Kubernetes y Docker, escalamiento de privilegios, los escapes de contenedores y la detección de configuraciones incorrectas.
- Recopilación de credenciales: recopila credenciales y secretos, incluyendo claves SSH, credenciales de Git, información de contraseñas locales, credenciales y cookies del navegador, tokens y claves API.
- Movimiento lateral: propaga lateralmente mediante un gusano basado en SSH.
- Persistencia: ayuda a establecer la persistencia mediante el abuso dinámico de enlazadores, tareas cron y servicios del sistema.
- Reconocimiento: recopila información detallada del sistema y del entorno.
Check Point lo describe como "impresionante y mucho más avanzado que el malware típico de Linux". VoidLink cuenta con un componente orquestador central que gestiona las comunicaciones y tareas del C2. Ejecución.
También incorpora una serie de funciones antianálisis para eludir la detección. Además de marcar varios depuradores y herramientas de monitorización, puede autoeliminarse si detecta cualquier indicio de manipulación. También cuenta con una opción de código automodificable que puede descifrar regiones de código protegidas en tiempo de ejecución y cifrarlas cuando no se utilizan, evadiendo así los escáneres de memoria en tiempo de ejecución.
Además, el framework antimalware enumera los productos de seguridad instalados y las medidas de refuerzo en el host comprometido para calcular una puntuación de riesgo y elaborar una estrategia de evasión general. Por ejemplo, esto puede implicar ralentizar los escaneos de puertos y tener un mayor control en entornos de alto riesgo.
"Los desarrolladores demuestran un alto nivel de experiencia técnica, con un sólido dominio de múltiples lenguajes de programación, como Go, Zig, C y frameworks modernos como React", señaló Check Point. "Además, el atacante posee un profundo conocimiento de los sofisticados sistemas operativos internos, lo que le permite desarrollar soluciones avanzadas y complejas".
VoidLink busca automatizar la evasión al máximo, perfilando un entorno y eligiendo la estrategia más adecuada para operar en él. Complementado con la experiencia en modo kernel y un amplio ecosistema de plugins, VoidLink permite a sus operadores moverse en entornos de nube y ecosistemas de contenedores con sigilo adaptativo.
Fuente: THN
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!