Selon un article publié le 14 janvier 2026, un framework malveillant avancé et cloud-native pour Linux nommé VoidLink a été découvert, orienté vers les environnements cloud modernes.

Des chercheurs de Check Point ont identifié un nouveau framework malware cloud-native pour Linux, baptisé VoidLink, conçu spécifiquement pour les environnements cloud et conteneurisés modernes.

VoidLink se distingue par :

  • une architecture modulaire très avancée,
  • une compatibilité native avec Docker et Kubernetes,
  • l’intégration de loaders, implants, rootkits et plugins,
  • et un fort accent mis sur la furtivité et l’évasion automatisée.

Le framework est développé en Zig, Go et C, avec une documentation riche et une structure suggérant un produit commercial ou un framework sur mesure pour un client, plutôt qu’un malware opportuniste.
Aucune infection active n’a été observée à ce stade.

Les indices linguistiques (interfaces, optimisations) laissent penser à des développeurs sinophones.

⚙️ Fonctionnement général

Une fois déployé, l’implant VoidLink :

  1. Détecte son environnement d’exécution

    • Docker
    • Kubernetes
    • Cloud providers : AWS, GCP, Azure, Alibaba, Tencent
      (Huawei, DigitalOcean et Vultr prévus)

  2. Profile l’hôte

    • version du noyau et hyperviseur,
    • processus et état réseau,
    • solutions EDR, durcissement kernel, outils de monitoring.

  3. Attribue un score de risque

    • Permet à l’opérateur d’adapter dynamiquement le comportement :
      • fréquence de beaconing,
      • vitesse des scans,
      • modules activés.

  4. Communique avec l’opérateur

    • Protocoles : HTTP, WebSocket, DNS tunneling, ICMP
    • Chiffrement via une couche propriétaire : VoidStream
    • Trafic camouflé pour ressembler à des appels API ou web légitimes.

🧩 Plugins et capacités

VoidLink charge ses plugins directement en mémoire (ELF) via des syscalls.
La configuration par défaut inclut 35 plugins, couvrant notamment :

  • Reconnaissance
    • système, utilisateurs, processus, réseau
  • Cloud & conteneurs
    • inventaire cloud
    • aides à l’évasion / escape
  • Vol d’identifiants
    • clés SSH
    • identifiants Git
    • tokens, clés API
    • données navigateur
  • Mouvement latéral
    • shells
    • tunnels et port forwarding
    • propagation via SSH
  • Persistance
    • abus du linker dynamique
    • cron jobs
    • services système
  • Anti-forensique
    • suppression de logs
    • nettoyage d’historique
    • timestomping

🕵️ Rootkits et évasion avancée

VoidLink intègre plusieurs techniques de dissimulation, choisies selon la version du noyau :

  • LD_PRELOAD (anciens kernels)
  • LKM (Loadable Kernel Modules)
  • Rootkits eBPF (kernels récents)

Fonctionnalités anti-analyse supplémentaires :

  • détection de débogueurs,
  • chiffrement du code à l’exécution,
  • vérification d’intégrité (hooks / tampering).

👉 En cas de détection d’analyse ou de manipulation :

  • auto-destruction de l’implant,
  • effacement des logs, historiques shell et connexions,
  • écrasement sécurisé de tous les fichiers déposés.

🧠 TTPs (extraits MITRE ATT&CK)

  • T1055 – Process Injection (chargement en mémoire des plugins ELF)
  • T1106 – Native API / Syscalls
  • T1082 – System Information Discovery
  • T1083 – File and Directory Discovery
  • T1046 – Network Service Discovery
  • T1003 – Credential Dumping (clés, tokens, navigateurs)
  • T1021.004 – Lateral Movement via SSH
  • T1053.003 – Scheduled Task / Cron
  • T1547.006 – Dynamic Linker Hijacking
  • T1014 – Rootkit (LKM, eBPF)
  • T1562.001 – Impair Defenses
  • T1071.001 / T1071.004 – Application Layer Protocols (HTTP, DNS)
  • T1095 – Non-Application Layer Protocol (ICMP)
  • T1027 – Obfuscated / Encrypted Payloads
  • T1070 – Indicator Removal on Host

Comportements suspects

  • Binaire Linux analysant :
    • Docker / Kubernetes
    • métadonnées cloud (AWS, GCP, Azure…)
  • Chargement dynamique de plugins ELF en mémoire
  • Communications chiffrées multi-protocoles (HTTP, DNS, ICMP)
  • Activité eBPF ou chargement LKM inhabituel
  • Suppression agressive de logs et historiques

Artefacts techniques

  • Chaîne de communication VoidStream
  • Plugins ELF sans présence sur disque
  • Détection/neutralisation d’EDR ou d’outils de monitoring

👉 Check Point fournit dans son rapport une liste technique détaillée d’IOCs et de plugins identifiés.

Même sans exploitation observée, son niveau de sophistication, sa modularité et l’usage de rootkits modernes (eBPF) en font un signal d’alerte majeur pour les équipes cloud, SOC et DevSecOps.

👉 Ce framework illustre clairement l’évolution du paysage des menaces vers des outils post-exploitation industriels, capables de s’intégrer discrètement aux infrastructures cloud modernes.

Type d’article: article d’information spécialisé visant à présenter la découverte d’un nouveau framework malveillant et ses capacités.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-voidlink-malware-framework-targets-linux-cloud-servers/