Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication.

• Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données.

• Architecture et modules 🧩: Livré via un loader en deux étapes, VoidLink s’appuie sur une API de développement de plugins proche de l’approche BOF de Cobalt Strike, avec plus de 30+ modules couvrant reconnaissance, élévation de privilèges, mouvement latéral, persistance, anti-forensique, etc. Un panneau C2 web (localisé pour opérateurs sinophones) inclut tableau de bord, terminal intégré, builder d’implant, gestion des tâches et des plugins. Les opérateurs peuvent régler le « heartbeat », l’empreinte OPSEC et déployer des modules à la carte.

• Furtivité et rootkits 🕵️‍♂️: Le framework calcule un score de risque selon l’EDR/hardening détecté et adapte ses actions (ex. scans plus lents). Il intègre des rootkits avec déploiement adaptatif: LD_PRELOAD, LKM et eBPF selon la version du noyau et les capacités, pour cacher processus/fichiers/sockets. Un moniteur de télémétrie ajuste les intervalles de communication (heures ouvrées, périodes creuses). Au réseau, il emploie un camouflage HTTP (mimétisme de contenus JS/CSS/HTML, blobs type PNG, imitation d’API) et un protocole interne VoidStream sur HTTP/1.1, HTTP/2, WebSocket, DNS, ICMP; des fonctions mesh/P2P sont présentes mais incomplètes.

• Anti-analyse et anti-forensique 🧪🧹: Le code recourt à des appels système directs (contournant libc), de l’anti-debug, des contrôles d’intégrité en mémoire, du code auto-modifiant/chiffré à l’exécution, et se supprime en cas de manipulation. Les modules anti-forensique effacent historiques, journaux et fichiers temporaires en surécrivant les données. Les plugins couvrent la collecte d’identifiants (SSH, Git, navigateurs, tokens, keyring, variables d’environnement), l’évasion conteneur (Docker/K8s), la persistance (systemd, cron, LD_PRELOAD) et le mouvement latéral (tunnels/port-forwarding, ver SSH).

• Statut et finalité 📌: Le projet est actif et en évolution; son design et sa documentation suggèrent un usage commercial (produit/fourniture à un client), sans observation d’infections réelles au moment de l’étude. L’article fournit une analyse technique détaillée, un inventaire de capacités et des IOCs.

IOC (SHA-256)

  • Stage 0:
    • 70aa5b3516d331e9d1876f3b8994fc8c18e2b1b9f15096e6c790de8cdadb3fc9
  • Stage 1:
    • 13025f83ee515b299632d267f94b37c71115b22447a0425ac7baed4bf60b95cd
    • 05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69
    • 15cb93d38b0a4bd931434a501d8308739326ce482da5158eb657b0af0fa7ba49
    • 6850788b9c76042e0e29a318f65fceb574083ed3ec39a34bc64a1292f4586b41
  • VoidLink Implants:
    • 6dcfe9f66d3aef1efd7007c588a59f69e5cd61b7a8eca1fb89a84b8ccef13a2b
    • 28c4a4df27f7ce8ced69476cc7923cf56625928a7b4530bc7b484eec67fe3943
    • e990a39e479e0750d2320735444b6c86cc26822d86a40d37d6e163d0fe058896
    • 4c4201cc1278da615bacf48deef461bf26c343f8cbb2d8596788b41829a39f3f

TTPs clés

  • Implant Linux écrit en Zig, cloud-first; détection AWS/GCP/Azure/Alibaba/Tencent; conscience Docker/Kubernetes.
  • API de plugins type BOF, exécution en mémoire; appels système directs; loader en deux étapes; tableau de bord C2 web.
  • Furtivité adaptative (score de risque), chiffrement runtime, auto-suppression, profilage d’activité hôte.
  • Rootkits LD_PRELOAD/LKM/eBPF selon noyau; dissimulation de processus/fichiers/sockets.
  • C2 multi-protocoles via VoidStream (HTTP/1.1, HTTP/2, WebSocket, DNS, ICMP), camouflage HTTP, blobs type PNG, imitation d’API, ébauche mesh/P2P.
  • Anti-analyse (anti-debug, intégrité mémoire, code auto-modifiant) et anti-forensique (effacement/overwrite logs/historiques).
  • Post-exploitation: évasion conteneur, escalade de privilèges, harvest d’identifiants (SSH, Git, navigateurs, keyring, env vars), tunnels/port forwarding, ver SSH.

Protections

  • Check Point Threat Emulation et Harmony Endpoint sont indiqués comme couvrant les techniques décrites.

Conclusion

  • Il s’agit d’une publication de recherche technique présentant un nouveau framework malveillant Linux orienté cloud, ses capacités, IoCs et TTPs, ainsi que son écosystème C2/plug-ins.

🧠 TTPs et IOCs détectés

TTP

Implant Linux écrit en Zig, cloud-first; détection AWS/GCP/Azure/Alibaba/Tencent; conscience Docker/Kubernetes. API de plugins type BOF, exécution en mémoire; appels système directs; loader en deux étapes; tableau de bord C2 web. Furtivité adaptative (score de risque), chiffrement runtime, auto-suppression, profilage d’activité hôte. Rootkits LD_PRELOAD/LKM/eBPF selon noyau; dissimulation de processus/fichiers/sockets. C2 multi-protocoles via VoidStream (HTTP/1.1, HTTP/2, WebSocket, DNS, ICMP), camouflage HTTP, blobs type PNG, imitation d’API, ébauche mesh/P2P. Anti-analyse (anti-debug, intégrité mémoire, code auto-modifiant) et anti-forensique (effacement/overwrite logs/historiques). Post-exploitation: évasion conteneur, escalade de privilèges, harvest d’identifiants (SSH, Git, navigateurs, keyring, env vars), tunnels/port forwarding, ver SSH.

IOC

70aa5b3516d331e9d1876f3b8994fc8c18e2b1b9f15096e6c790de8cdadb3fc9, 13025f83ee515b299632d267f94b37c71115b22447a0425ac7baed4bf60b95cd, 05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69, 15cb93d38b0a4bd931434a501d8308739326ce482da5158eb657b0af0fa7ba49, 6850788b9c76042e0e29a318f65fceb574083ed3ec39a34bc64a1292f4586b41, 6dcfe9f66d3aef1efd7007c588a59f69e5cd61b7a8eca1fb89a84b8ccef13a2b, 28c4a4df27f7ce8ced69476cc7923cf56625928a7b4530bc7b484eec67fe3943, e990a39e479e0750d2320735444b6c86cc26822d86a40d37d6e163d0fe058896, 4c4201cc1278da615bacf48deef461bf26c343f8cbb2d8596788b41829a39f3f

🔗 Source originale : https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/