I ricercatori di Check Point Research hanno scoperto VoidLink, un malware Linux di nuova generazione estremamente avanzato, progettato per garantire accesso furtivo e a lungo termine in ambienti cloud e container.
VoidLink è un framework di malware altamente modulare, composto da loader personalizzati, impianti, rootkit e oltre 30 plugin, che consente agli operatori di estendere dinamicamente le funzionalità del malware direttamente in memoria. L’architettura si basa su una API ispirata ai Beacon Object Files di Cobalt Strike, rendendolo più simile a una piattaforma di post-exploitation che a un semplice malware Linux.
Il framework è stato individuato nel dicembre 2025 e sembra provenire da un ambiente di sviluppo affiliato alla Cina, anche se l’attribuzione definitiva resta incerta. La presenza di simboli di debug e continui cambiamenti nei campioni analizzati indica che VoidLink è in rapido sviluppo e probabilmente destinato a un uso commerciale o su commissione.
VoidLink è scritto principalmente in Zig e dimostra un livello tecnico molto elevato: gli sviluppatori padroneggiano linguaggi come Go, C e Zig e utilizzano framework moderni come React per la dashboard di comando e controllo. Il malware è in grado di rilevare i principali provider cloud (AWS, Azure, GCP, Alibaba, Tencent) e di adattare il proprio comportamento se eseguito in Docker o Kubernetes.
Dal punto di vista della stealth e dell’OPSEC, VoidLink integra crittografia del codice a runtime e automodifica, meccanismi di anti-debug e anti-analisi, auto-eliminazione in caso di manomissione, un modello di stealth adattivo che modifica il comportamento in base ai sistemi di sicurezza rilevati.
Particolarmente sofisticato è l’uso combinato di rootkit LD_PRELOAD, LKM ed eBPF, selezionati dinamicamente in base alla versione del kernel, per nascondere processi, file, socket di rete e persino i rootkit stessi.
La comunicazione C2 è altrettanto avanzata: VoidLink supporta HTTP/HTTPS, HTTP/2, WebSocket, DNS e ICMP, con traffico camuffato da contenuti legittimi (PNG, JS, CSS, API). È presente anche una base per reti mesh P2P, che consentirebbero alle macchine infette di comunicare senza accesso diretto a Internet.
L’obiettivo finale del framework sembra essere spionaggio, sorveglianza e raccolta di credenziali, in particolare in ambienti cloud e nelle workstation di sviluppatori e amministratori, con possibili implicazioni per attacchi alla supply chain.
In sintesi, VoidLink rappresenta uno dei framework malware Linux più avanzati mai osservati, segnando un netto salto di qualità nelle minacce cloud-native e confermando l’evoluzione del malware Linux verso piattaforme complete di post-exploitation.
https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/
