Обнаружен новый вредоносный фреймворк VoidLink для Linux и облаков
3 мин
78
Исследователи из Check Point Research нашли новый вредоносный фреймворк для Linux под названием VoidLink. Платформа специально адаптирована под облака и контейнеры. VoidLink состоит из загрузчиков, имплантов, руткитов и модульных плагинов.
Платформа написана на Zig с модульной архитектурой. В её основе лежит API для плагинов, похожий на Beacon Object Files из Cobalt Strike. По умолчанию VoidLink содержит 30 плагинов. Первые образцы выявили в декабре 2025 года с отладочными символами — инструмент ещё активно дорабатывают. Уровень его проработки достаточно высокий — в коде встречаются языки Go, Zig, C и React для веб-панели.
Интерфейс VoidLink разбит на три раздела: управление агентами, постэксплуатация и инфраструктура. Панель управления позволяет создавать новые варианты имплантов, настраивать скрытность и частоту связи с сервером управления. На момент исследования (январь 2026 года) в ней насчитывалось 37 модулей по категориям.
VoidLink умеет распознавать облачные платформы — AWS, GCP, Azure, Alibaba, Tencent. После определения провайдера он собирает информацию о виртуалках через API, проверяет Docker или Kubernetes и подстраивает поведение, собирает учётные данные, пароли, ключи доступа для облачных сервисов и Git. В этом фреймворке также имеется веб-панель на китайском языке.
Доставка имплантов на заражённую систему выполняется через двухэтапный загрузчик. Сначала загружается основной имплант, потом — дополнительные плагины. При запуске VoidLink сканирует защиту, рассчитывает уровень риска и выбирает стратегию. В среде с мониторингом фреймворк работает аккуратнее. Есть модуль, который следит за CPU, памятью, сетью, процессами и подстраивает частоту связи под рабочие часы.
Модуль скрытности включает руткиты под разные версии ядра. Для старых — LD_PRELOAD, для новых с eBPF — программы eBPF, для средних — модули LKM. Трафик в VoidLink маскируется под легитимный. Запросы и украденные файлы прячутся в PNG-блобы, контент сайтов или API-запросы. Фреймворк поддерживает протокол HTTP/1.1, HTTP/2, WebSocket, DNS и ICMP через внутренний протокол VoidStream. В образцах имеется код для mesh-сети между заражёнными машинами.
VoidLink защищается от анализа: находит отладчики, проверяет целостность кода, использует самоизменяющийся код. При обнаружении вмешательства удаляет себя. Модули форензики стирают историю команд, логи, файлы, а данные перезаписываются случайным образом и не подлежат восстановлению.
Плагины поставляются как объектные файлы ELF и выполняются в памяти. Плагины для разведки сканируют систему, облачные — работают с Kubernetes и Docker. Плагины кражи собирают SSH-ключи, Git-креды, пароли, данные браузеров, токены. Утилиты включают шеллы, проброс портов, SSH-червя. Плагины закрепления используют линкер, cron, системные службы.
Специалисты кибербеза отметили, что точное предназначение фреймворка пока остаётся неизвестным. Это может быть пентест, криминал или предоставление вредоносных услуг за деньги. Качество кода и документация говорят о коммерческих целях, однако данных о реальных заражениях на январь 2026 года нет.
