Un nuovo framework di malware per Linux, battezzato VoidLink, è stato individuato dai ricercatori di sicurezza e sta attirando grande attenzione per la sua complessità e per il modo in cui ridefinisce le minacce rivolte ai server moderni. Non si tratta di un semplice trojan o di uno script malevolo, ma di un framework completo, modulare e altamente personalizzabile, pensato per operare in ambienti cloud come AWS, Google Cloud, Azure, Alibaba e Tencent. La sua scoperta rappresenta un campanello d’allarme per chi gestisce infrastrutture Linux distribuite e servizi containerizzati.
VoidLink è scritto in Zig e si presenta come un insieme di oltre trenta plugin che possono essere combinati per adattarsi a ogni macchina compromessa. Questa architettura modulare permette agli operatori di scegliere quali capacità attivare, rendendo il malware estremamente flessibile.
I ricercatori di Check Point hanno evidenziato come VoidLink sia in grado di riconoscere automaticamente se si trova in un container Docker o in un pod Kubernetes, modificando il proprio comportamento in base al contesto. Questa consapevolezza dell’ambiente operativo è uno degli elementi che lo rendono molto più avanzato rispetto al malware Linux tradizionale.
Il framework integra funzioni tipiche degli strumenti professionali di penetration testing, come Cobalt Strike, ma orientate a un uso malevolo. VoidLink può enumerare i sistemi di sicurezza presenti, valutare il livello di rischio e adottare strategie di evasione su misura.
VoidLink cattura dati perfino dai browser
È in grado di rubare credenziali SSH, Git e persino dati dei browser, facilitando movimenti laterali e compromissioni più profonde. I suoi canali di comando e controllo utilizzano protocolli come HTTP/2, WebSocket e perfino tunnel DNS o ICMP, mascherando il traffico per renderlo indistinguibile da quello legittimo.
Un altro aspetto che colpisce è la presenza di rootkit sia a livello kernel, tramite moduli LKM, sia a livello utente, tramite LD_PRELOAD. VoidLink sceglie automaticamente la tecnica più adatta in base alla versione del sistema, garantendo un occultamento efficace. La sua API interna permette inoltre agli operatori di sviluppare nuovi plugin, ampliando continuamente le capacità del framework. Secondo l’analisi del codice, l’interfaccia del pannello di controllo è in cinese e il progetto è ancora in sviluppo attivo, con l’obiettivo di supportare un numero crescente di provider cloud.
Bisogna comunque segnalare che VoidLink non è ancora diffuso su larga scala, ma la sua esistenza segna un’evoluzione significativa nel panorama delle minacce. È un avvertimento per amministratori e sviluppatori: la sicurezza del cloud richiede attenzione costante, aggiornamenti regolari e un monitoraggio approfondito dei sistemi.
