Los investigadores de ciberseguridad han revelado detalles de un marco de
malware previamente no documentado y rico en funciones, cuyo nombre en código
es VoidLink, que está diseñado específicamente para el acceso sigiloso
a largo plazo a entornos de nube basados en Linux.
Según un nuevo
informe de Check Point Research, este framework de malware para Linux, nativo de la nube, comprende una
serie de cargadores personalizados, implantes, rootkits y complementos
modulares que permiten a sus operadores aumentar o modificar sus capacidades
con el tiempo, así como adaptarse a cambios de objetivos. Fue descubierto por
primera vez en diciembre de 2025.
«El framework incluye múltiples capacidades y módulos centrados en la nube,
y está diseñado para funcionar de forma fiable en entornos de nube y
contenedores durante periodos prolongados», declaró la empresa de ciberseguridad en un análisis publicado hoy.
«La arquitectura de VoidLink es extremadamente flexible y altamente
modular, centrada en una API de complemento personalizada que parece estar
inspirada en el enfoque tipo Beacon Object Files (BOF) de Cobalt Strike.
Esta API se utiliza en más de 30 módulos de complemento disponibles por
defecto».
Los hallazgos reflejan un cambio en el enfoque de los actores de amenazas,
de los sistemas Windows a los sistemas Linux, que se han convertido en la
base de los servicios en la nube y las operaciones críticas.
VoidLink, que se mantiene y evoluciona activamente, se considera obra de
actores de amenazas afiliados a China.
Este kit de herramientas,
un implante orientado a la nube y escrito en el lenguaje de programación
Zig, puede
detectar los principales entornos de nube, como Amazon Web Services (AWS),
Google Cloud, Microsoft Azure, Alibaba y Tencent, y adaptar su
comportamiento si reconoce que se ejecuta en un contenedor Docker o un pod
de Kubernetes.
También puede recopilar credenciales asociadas con entornos de nube y sistemas
populares de control de versiones de código fuente como Git.
El hecho de que estos servicios sean el objetivo indica que VoidLink
probablemente esté diseñado para atacar a desarrolladores de software, ya sea
con la intención de robar datos confidenciales o aprovechar el acceso para
realizar ataques a la cadena de suministro.
A continuación se enumeran algunas de sus otras capacidades:
-
Funciones similares a las de un rootkit que utilizan LD_PRELOAD, módulo de
kernel (LKM) y eBPF para ocultar sus procesos según la versión del kernel de Linux. - Un sistema de complementos en memoria para ampliar la funcionalidad.
-
Compatibilidad con diversos canales de comando y control (C2), como
HTTP/HTTPS, WebSocket, ICMP y tunelización DNS. -
Formación de una red Peer-to-Peer (P2P) o de tipo malla entre hosts
comprometidos.
Un panel de control web chino que permite a los atacantes controlar
remotamente el implante, crear versiones personalizadas sobre la marcha,
gestionar archivos, tareas y complementos, y llevar a cabo diferentes etapas
del ciclo de ataque, desde el reconocimiento y la persistencia hasta el
movimiento lateral y la evasión de defensas mediante la eliminación de rastros
de actividad maliciosa.
VoidLink admite 37 complementos que abarcan análisis forense, reconocimiento,
contenedores, escalamiento de privilegios, movimiento lateral y otros, lo que
lo convierte en un marco completo de postexplotación.
-
Análisis forense: borra o edita registros e historial de shell según
palabras clave y realiza marcas de tiempo en los archivos para dificultar el
análisis. -
Nube: facilita el descubrimiento de Kubernetes y Docker, escalamiento de
privilegios, los escapes de contenedores y la detección de configuraciones
incorrectas. -
Recopilación de credenciales: recopila credenciales y secretos, incluyendo
claves SSH, credenciales de Git, información de contraseñas locales,
credenciales y cookies del navegador, tokens y claves API. - Movimiento lateral: propaga lateralmente mediante un gusano basado en SSH.
-
Persistencia: ayuda a establecer la persistencia mediante el abuso dinámico
de enlazadores, tareas cron y servicios del sistema. - Reconocimiento: recopila información detallada del sistema y del entorno.
Check Point lo describe como
«impresionante y mucho más avanzado que el malware típico de Linux».
VoidLink cuenta con un componente orquestador central que gestiona las
comunicaciones y tareas del C2. Ejecución.
También incorpora una serie de funciones antianálisis para eludir la
detección. Además de marcar varios depuradores y herramientas de
monitorización, puede autoeliminarse si detecta cualquier indicio de
manipulación. También cuenta con una opción de código automodificable que
puede descifrar regiones de código protegidas en tiempo de ejecución y
cifrarlas cuando no se utilizan, evadiendo así los escáneres de memoria en
tiempo de ejecución.
Además, el framework antimalware enumera los productos de seguridad instalados
y las medidas de refuerzo en el host comprometido para calcular una puntuación
de riesgo y elaborar una estrategia de evasión general. Por ejemplo, esto
puede implicar ralentizar los escaneos de puertos y tener un mayor control en
entornos de alto riesgo.
«Los desarrolladores demuestran un alto nivel de experiencia técnica, con
un sólido dominio de múltiples lenguajes de programación, como Go, Zig, C y
frameworks modernos como React», señaló Check Point.
«Además, el atacante posee un profundo conocimiento de los sofisticados
sistemas operativos internos, lo que le permite desarrollar soluciones
avanzadas y complejas».
VoidLink busca automatizar la evasión al máximo, perfilando un entorno y
eligiendo la estrategia más adecuada para operar en él. Complementado con la
experiencia en modo kernel y un amplio ecosistema de plugins, VoidLink permite
a sus operadores moverse en entornos de nube y ecosistemas de contenedores con
sigilo adaptativo.
Fuente:
THN