Investigadores de ciberseguridad han revelado detalles de un marco de malware rico en funciones y previamente indocumentado cuyo nombre en código es VoidLink y que está diseñado específicamente para el acceso sigiloso a largo plazo a entornos de nube basados en Linux.
Según un nuevo informe de Check Point Research, los marcos de malware de Linux nativos de la nube consisten en un conjunto de cargadores personalizados, implantes, rootkits y complementos modulares que permiten a los operadores ampliar o cambiar su funcionalidad con el tiempo o pivotar si cambia su propósito. Fue descubierto por primera vez en diciembre de 2025.
«El marco incluye múltiples funciones y módulos centrados en la nube y está diseñado para funcionar de manera confiable en entornos de nube y contenedores durante largos períodos de tiempo», dijo la firma de ciberseguridad en un análisis publicado hoy. «La arquitectura de VoidLink es muy flexible y altamente modular, centrada en una API de complemento personalizada que parece estar inspirada en el enfoque Beacon Object Files (BOF) de Cobalt Strike. Esta API es utilizada por más de 30 módulos de complemento disponibles de forma predeterminada».
Este hallazgo refleja un cambio en el enfoque de los atacantes de los sistemas Windows a los sistemas Linux, que están emergiendo como la base de los servicios en la nube y las operaciones críticas. Se ha evaluado que VoidLink, que se mantiene y evoluciona activamente, es obra de actores de amenazas afiliados a China.
Este conjunto de herramientas, un implante de nube escrito en el lenguaje de programación Zig, puede descubrir los principales entornos de nube. Cuando Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba y Tencent reconocen que se está ejecutando dentro de un contenedor Docker o un pod de Kubernetes, adaptan su comportamiento. También puede recopilar credenciales asociadas con entornos de nube y sistemas de control de versiones de código fuente populares, como Git.
Descripción general de alto nivel de VoidLink
El objetivo de estos servicios indica que VoidLink probablemente esté diseñado para atacar a los desarrolladores de software con el fin de robar datos confidenciales o utilizar el acceso para realizar ataques a la cadena de suministro.
Algunas de las otras características se enumeran a continuación.
Ocultar procesos basados en LD_PRELOAD, módulos de kernel cargables (LKM) y versiones del kernel de Linux. Funcionalidad similar a Rootkit usando eBPF. Sistema de complemento en memoria para ampliar la funcionalidad. Soporte para varios canales de comando y control (C2), como HTTP/HTTPS, WebSockets, ICMP y túnel DNS. Forme redes de igual a igual (P2P) o de estilo malla entre hosts comprometidos.
El panel de control basado en la web de China permite a los atacantes controlar remotamente el implante, crear versiones personalizadas sobre la marcha, administrar archivos, tareas y complementos, y ejecutar varias etapas del ciclo de ataque, desde el reconocimiento y la persistencia hasta el movimiento lateral y la evasión de defensa que borra cualquier rastro de actividad maliciosa.
Panel de creación para crear versiones personalizadas de VoidLink
VoidLink admite 37 complementos que abarcan análisis forense, reconocimiento, contenedores, escalada de privilegios, movimiento lateral y más, convirtiéndolo en un marco completo de post-explotación.
Antiforense: borre o edite registros e historial de shell en función de palabras clave y archivos de marcación de tiempo que impiden el análisis. Nube: descubra y aumente fácilmente los privilegios en Kubernetes y Docker, escape de contenedores e investigue configuraciones erróneas. Recopile credenciales: recopile credenciales y secretos como claves SSH, credenciales de Git, materiales de contraseñas locales, credenciales del navegador y cookies, tokens y claves API. La persistencia de movimiento lateral (difusión) utiliza gusanos basados en SSH lateralmente para ayudar a establecer la persistencia mediante la explotación de enlazadores dinámicos, trabajos cron y servicios del sistema. Recon recopila información detallada del sistema y del entorno.
Check Point describió a VoidLink como «impresionante» y «mucho más sofisticado que el típico malware de Linux», diciendo que presenta un componente central de orquestación que maneja las comunicaciones C2 y la ejecución de tareas.
También incluye un conjunto de funciones antianálisis para evitar la detección. Puede marcar varios depuradores y herramientas de monitoreo, así como eliminarse a sí mismo si se detectan signos de manipulación. También tiene una opción de código de modificación automática que le permite omitir el escáner de memoria en tiempo de ejecución y descifrar regiones de código protegidas en tiempo de ejecución, cifrándolas cuando no están en uso.
Además, el marco de malware enumera los productos de seguridad y las medidas de refuerzo instaladas en el host infectado, calcula una puntuación de riesgo y deriva una estrategia de evasión general. Por ejemplo, esto puede incluir ralentizar los análisis de puertos y proporcionar más control en entornos de alto riesgo.
«Los desarrolladores demuestran altos niveles de experiencia técnica con un alto dominio de múltiples lenguajes de programación, incluidos marcos modernos como Go, Zig, C y React», dijo Check Point. «Además, los atacantes tienen un conocimiento profundo del funcionamiento interno de los sistemas operativos avanzados, lo que les permite desarrollar soluciones sofisticadas y complejas».
«VoidLink tiene como objetivo automatizar la evasión tanto como sea posible perfilando el entorno y eligiendo las mejores estrategias para operar en ese entorno. Impulsado por el modo kernel y un vasto ecosistema de complementos, VoidLink permite a los operadores moverse a través de entornos de nube y ecosistemas de contenedores con sigilo adaptativo».
Source link
