Según los hallazgos de Cisco Talos, se observó que un actor de amenazas desconocido previamente rastreado como UAT-9921 aprovechaba un nuevo marco modular llamado VoidLink en campañas dirigidas a los sectores de tecnología y servicios financieros.
«Este actor de amenazas parece haber estado activo desde 2019, pero no necesariamente ha estado usando VoidLink durante este período», dijeron los investigadores Nick Biasini, Aaron Boyd, Asheer Malhotra y Vitor Ventura. «UAT-9921 se utiliza para instalar el comando y control de VoidLink (C2) utilizando hosts comprometidos e iniciar la actividad de escaneo tanto dentro como fuera de la red».
VoidLink fue documentado por primera vez por Check Point el mes pasado, describiéndolo como un marco de malware rico en funciones escrito en Zig diseñado para un acceso sigiloso a largo plazo a entornos de nube basados en Linux. Esto se atribuye al trabajo de un único desarrollador que desarrolló los aspectos internos basándose en un paradigma llamado desarrollo basado en especificaciones, con la ayuda de modelos de lenguaje a gran escala (LLM).
En un análisis separado publicado a principios de esta semana, Ontinue señaló que la aparición de VoidLink presenta nuevas preocupaciones de que los rootkits a nivel de kernel y los implantes llenos de funciones generados por LLM dirigidos a entornos de nube podrían reducir aún más la barrera de habilidades requerida para generar malware difícil de detectar.
Teniendo en cuenta el idioma del marco, se cree que UAT-9921 tiene conocimientos de chino y el conjunto de herramientas parece ser una incorporación reciente, según Talos. Se cree que el desarrollo fue llevado a cabo por varios equipos, pero el alcance del límite entre el desarrollo y la operación real aún no está claro.
«Los operadores que implementan VoidLink tienen acceso al código fuente de algunos módulos (del kernel) y algunas herramientas para interactuar con el implante sin usar C2», anotaron los investigadores. «Esto indica un conocimiento interno de los protocolos de comunicación del implante».
VoidLink se introdujo como una herramienta posterior al compromiso para ayudar a los atacantes a evadir la detección. También se ha observado que los actores de amenazas implementan proxies SOCKS en servidores comprometidos para iniciar reconocimientos internos y escaneos de movimiento lateral utilizando herramientas de código abierto como Fscan.
La firma de ciberseguridad dijo que tiene conocimiento de múltiples víctimas relacionadas con VoidLink que se remontan a septiembre de 2025, lo que sugiere que el trabajo en el malware puede haber comenzado mucho antes de la línea de tiempo de noviembre de 2025 compilada por Check Point.
VoidLink utiliza tres lenguajes de programación diferentes. ZigLang para el implante, C para el complemento y GoLang para el backend. Admite la compilación de complementos bajo demanda y admite una variedad de distribuciones de Linux potencialmente específicas. Los complementos permiten la recopilación de información, el movimiento lateral y la análisis forense.
El marco también está equipado con una amplia gama de mecanismos ocultos para frustrar el análisis y evitar la eliminación de hosts infectados, e incluso detectar soluciones de detección y respuesta de puntos finales (EDR) para diseñar estrategias de evasión sobre la marcha.
«C2 proporciona un complemento al implante que permite a los operadores leer exploits para vulnerabilidades conocidas en bases de datos específicas o que residen en servidores web internos», dijo Talos.
«El C2 no necesariamente necesita que todas estas herramientas estén disponibles; podría haber un agente que investigue y prepare las herramientas para que las use el operador. Con las capacidades actuales de compilación bajo demanda de VoidLink, integrar dicha funcionalidad no es complicado. Tenga en cuenta que todo esto sucede mientras el operador continúa explorando el entorno».
Otra característica de VoidLink es su auditabilidad y la presencia de un mecanismo de control de acceso basado en roles (RBAC) que consta de tres niveles de roles: SuperAdmin, Operador y Visor. Esto sugiere que los desarrolladores del marco tenían en mente el monitoreo al diseñarlo, lo que plantea la posibilidad de que esta actividad fuera parte de un ejercicio del equipo rojo.
Además, hay indicios de que existe un implante principal que está compilado para Windows y puede cargar complementos mediante una técnica llamada descarga lateral de DLL.
«Esta es una prueba de concepto que está casi lista para producción», dijo Talos. «VoidLink está preparado para convertirse en un marco aún más potente gracias a su funcionalidad y flexibilidad».
Source link
