网络安全研究人员近日曝光了一种此前未被公开披露的、能力强大的恶意软件框架,其代号为voidlink,专为在linux平台的云基础设施中实现长期、隐蔽的控制而设计。
据Check Point Research最新发布的分析报告披露,这一面向云原生环境的Linux恶意软件框架集成了多个定制化加载器、植入体、rootkit组件及模块化扩展插件,赋予攻击者随时间演进其攻击能力、动态适配新目标并实施“战术转向”的灵活性。该框架最早于2025年12月被首次捕获。
该公司在今日公开的技术报告中指出:“该框架内置多项专为云场景优化的功能与模块,整体架构旨在保障其在云服务及容器化环境中长期稳定驻留。VoidLink采用高度可扩展的设计理念,其核心围绕一套自研插件接口构建——该接口的设计思路明显借鉴了Cobalt Strike Beacon对象文件机制。默认配置下,已有逾30个功能插件通过此统一API接入运行。”
此类发现印证了当前高级威胁组织正加速将攻击重心从传统Windows系统迁移至Linux平台——后者如今已成为云计算服务与企业核心业务系统的底层支柱。目前评估显示,VoidLink仍处于持续开发与迭代阶段,且初步溯源线索指向与中国背景相关的黑客团体。
作为一款以Zig语言编写的“云优先”型植入程序,该工具包具备识别主流公有云平台的能力,包括亚马逊AWS、谷歌GCP、微软Azure、阿里云以及腾讯云;同时可准确判断自身是否运行于Docker容器或Kubernetes Pod内,并据此调整行为策略。此外,它还能自动采集与云环境相关的关键凭证,以及Git等主流源码版本管理工具的认证凭据。
上述特性表明,VoidLink极有可能将软件开发人员作为主要攻击目标,意在窃取高价值数据,或借由已获取的访问权限发动供应链层面的渗透攻击。
其余关键能力如下所示:
- 具备类rootkit级的隐藏机制,涵盖LD_PRELOAD劫持、可加载内核模块(LKM)注入及eBPF技术,用以掩藏恶意进程;
- 内置进程内插件加载系统,支持运行时动态扩展功能;
- 支持多种C2通信通道,包括HTTP/HTTPS、WebSocket、ICMP隧道及DNS隧道;
- 可在受控主机之间构建点对点(P2P)或网状(Mesh)网络结构;
- 配备一个基于Web界面的中文控制台,使攻击者能远程操控所有植入节点,按需生成定制化载荷、统一管理文件、任务与插件,并完整覆盖从初始侦察、持久驻留、横向渗透到防御规避(如清除操作痕迹)在内的全链路攻击流程。
VoidLink目前已集成37个功能插件,覆盖反取证、环境侦察、容器攻防、权限提升、横向移动等多个维度,构成一套完备的后渗透利用平台:
- 反取证:依据预设关键词擦除或篡改系统日志与Shell历史记录,并对指定文件执行时间戳伪造,干扰逆向分析;
- 云环境专项:支持Kubernetes与Docker资产发现、权限提权、容器逃逸尝试及常见配置错误检测;
- 凭证盗取:广泛采集各类身份凭据与密钥,含SSH私钥、Git账户信息、本地密码数据库、浏览器保存的账号密码与Cookie、OAuth令牌及各类云API密钥;
- 横向移动:依托SSH协议实现自动化蠕虫式传播;
- 持久化机制:通过滥用动态链接器配置、cron定时任务及systemd服务等方式维持长期驻留;
- 环境侦察:全面采集主机系统信息、运行环境特征及网络拓扑细节。
Check Point将其评价为“极为成熟”且“显著超越常规Linux恶意软件的技术水准”,并强调VoidLink依赖一个中央协调模块来统管C2指令分发与任务调度执行。
该框架还整合了大量反调试与反分析能力以逃避检测。除能识别并标记主流调试器与监控工具外,一旦察觉运行环境存在可疑干预行为(如内存dump、进程挂起),便会立即触发自毁逻辑。更进一步地,它支持运行时代码解密与重加密——即仅在实际调用时才解密保护区域,其余时间保持加密状态,从而有效绕过内存扫描类检测手段。
此外,VoidLink会在感染主机上主动枚举已部署的安全防护产品与系统加固措施,并据此生成风险评分,进而制定精细化规避策略。例如,在检测到高对抗性环境时,会降低端口扫描频率、缩小探测范围,并启用更隐蔽的控制方式。
Check Point总结称:“开发者展现出卓越的工程素养,熟练掌握Go、Zig、C及React等多种现代开发语言与框架。与此同时,他们对操作系统底层机制(尤其是Linux内核)拥有深刻理解,这使得VoidLink不仅具备强大的功能性,也展现出高度的适应性与隐蔽性。该框架致力于实现最大程度的自动化规避:它会对目标环境进行深度画像,智能选取最匹配的对抗策略,并融合内核级技术与庞大的插件生态,使其操控者得以在云与容器生态中展开灵活、隐匿且可持续的攻击行动。”
