VoidLink è un nuovo malware per Linux progettato per ottenere accesso furtivo e di lunga durata in ambienti cloud e container. La sua forza principale è la modularità, grazie a un sistema di plugin che consente agli attaccanti di aggiungere o modificare funzionalità nel tempo, adattandosi a obiettivi diversi senza dover reinstallare l’intero impianto malevolo. Questo approccio rende VoidLink una minaccia rilevante per la sicurezza cloud, per la protezione delle infrastrutture Kubernetes e per la difesa dei workload Docker, dove la persistenza e la capacità di muoversi lateralmente possono avere un impatto elevato.

Il framework include loader personalizzati, componenti di impianto e funzioni simili a rootkit. In base alla versione del kernel Linux, può nascondere processi e attività usando tecniche come LD_PRELOAD, moduli kernel caricabili e anche eBPF, aumentando la difficoltà di individuazione. Inoltre supporta un sistema di plugin in memoria, utile per estendere le capacità senza lasciare troppi artefatti su disco, un dettaglio importante per chi si occupa di threat hunting e incident response.

VoidLink è pensato per riconoscere dove si trova. Può individuare i principali provider cloud come AWS, Google Cloud, Microsoft Azure, Alibaba e Tencent, e modificare il comportamento se rileva di essere dentro un container Docker o un pod Kubernetes. Tra le funzioni più critiche ci sono la raccolta di credenziali e segreti legati al cloud e a strumenti di sviluppo, inclusi dati associati a sistemi di controllo versione come Git. Questo suggerisce un possibile interesse verso sviluppatori e pipeline DevOps, con rischio di furto dati e scenari di supply chain attack.

Sul piano delle comunicazioni, il malware supporta diversi canali di comando e controllo, tra cui HTTP e HTTPS, WebSocket, ICMP e DNS tunneling, e può creare reti peer-to-peer tra host compromessi. Un pannello web consente agli operatori di gestire file, task e plugin, oltre a condurre fasi complete dell’attacco, dalla ricognizione alla persistenza, fino alla cancellazione di tracce.

Particolarmente avanzate sono le capacità di evasione: il malware può rilevare debugger e strumenti di monitoraggio, autodistruggersi in caso di manomissione e utilizzare codice auto-modificante che cifra e decifra porzioni protette a runtime per eludere scanner di memoria. Inoltre valuta i controlli di sicurezza presenti sul sistema e calcola un punteggio di rischio per scegliere strategie di evasione, ad esempio rallentando scansioni porte in ambienti più sorvegliati.