VoidLink è il nuovo malware per Linux: molto sofisticato e con il cloud nel mirino

I ricercatori di Check Point Research hanno scoperto VoidLink, un framework di malware Linux non documentato in precedenza, concepito per accessi prolungati e nascosti su ambienti cloud basati su Linux. Questo toolkit cloud-native include loader personalizzati, impianti, rootkit e oltre 30 plugin modulari che consentono agli operatori di ampliare o modificare le capacita nel tempo, adattandosi ai cambiamenti degli obiettivi. Scoperto per la prima volta a dicembre 2025, VoidLink riflette un passaggio dell'attenzione degli attaccanti da Windows a Linux, pilastro dei servizi cloud e operazioni critiche.

Sviluppato in linguaggio Zig, l'impianto principale rileva ambienti cloud principali come Amazon Web Services, Google Cloud, Microsoft Azure, Alibaba e Tencent, adattando il comportamento se eseguito in container Docker o pod Kubernetes. VoidLink raccoglie inoltre credenziali legate a questi ambienti e sistemi di controllo versione come Git, suggerendo una particolare attenzione verso gli sviluppatori software per furto dati o attacchi alla supply chain.

Funzionalita avanzate di occultamento e persistenza

VoidLink integra funzionalita rootkit-like con LD_PRELOAD, moduli kernel caricabili (LKM) ed eBPF per nascondere processi in base alla versione del kernel Linux. Supporta canali C2 vari come HTTP/HTTPS, WebSocket, ICMP e DNS tunneling, oltre a reti peer-to-peer tra host compromessi. Una dashboard web in lingua cinese permette il controllo remoto, la creazione di versioni personalizzate, gestione file, task e plugin per tutte le fasi dell'attacco, dalla ricognizione alla evasion difensiva.

Schema della composizione di VoidLink - Fonte: Check Point Research

Tra i 37 plugin disponibili figurano moduli per anti-forensics che cancellano o modificano log e storia shell, timestomping; cloud per scoperta Kubernetes/Docker, escalation privilegi e fuga container; harvesting credenziali inclusi SSH key, git, password locali, browser cookie, token e API key; movimento laterale via worm SSH; persistenza con abusi linker dinamico, cron e servizi sistema; ricognizione dettagliata del sistema.

Meccanismi anti-analisi e expertise tecnica

Check Point descrive VoidLink come impressionante e molto piu avanzato del malware Linux tipico, con un orchestratore core per comunicazioni C2 ed esecuzione di task. Include meccanismi di anti-analisi che rileva debugger e tool di monitoraggio, auto-cancellazione su tampering, codice self-modifying per crittografare/decrittografare regioni protette, eludendo scanner di memoria.

Il framework enumera prodotti di sicurezza per calcolare un punteggio rischio e adattare eventuali strategie di evasione, come ad esempio il rallentamento di operazioni di scan delle porte in ambienti ad alto rischio. Gli sviluppatori mostrano una elevata competenza in Go, Zig, C e framework React, con profonda conoscenza dei meccanismi profondi del sistema operativo, per l'elaborazione di strategie e soluzioni complesse. VoidLink automatizza le operazioni di evasione profilando ambienti e scegliendo strategie adatte, potenziato da tradecraft kernel e un ecosistema di plugin pensato per movimento stealth all'interno di sistemi cloud e container.