Nieuw Linux-malwareframework richt zich op cloud en containers

In dit artikel:

Check Point Research ontdekte eind 2025 een tot nu toe onbekend en geavanceerd Linux-malwareframework dat door de ontwikkelaars VoidLink is genoemd. De samples verschenen in meerdere Linux-binaries op VirusTotal en bevatten ontwikkelartefacten zoals debug-symbolen, wat wijst op actieve ontwikkeling maar geen bewijs van grootschalig misbruik in het wild.

VoidLink is in Zig geschreven en expliciet ontworpen voor moderne cloudomgevingen. Bij activering detecteert het automatisch of het draait in publieke clouds (AWS, Azure, Google Cloud) of binnen Docker-/Kubernetes-omgevingen en gebruikt cloudmetadata-API’s om zijn gedrag op die context af te stemmen. De kern is klein en uitbreidbaar via plugins; aangetroffen modules ondersteunen uitgebreide post-exploit-activiteiten zoals systeemverkenning, credential harvesting, laterale beweging en het vestigen van langdurige persistentie. Niet alleen servers, maar ook ontwikkelaars- en beheerwerkstations met toegang tot cloudresources zijn doelwitten.

Stealth staat centraal: VoidLink signaleert aanwezige Linux-EDR en kernel-hardening en past zijn activiteiten daarop aan (bijv. vertraging of spreiding van acties). Voor verbergen van processen, bestanden en netwerkverbindingen gebruikt het technieken variërend van gebruikersmodustrucs tot kernelmodules en eBPF. Command-and-controlverkeer kan gemaskeerd worden als regulier web- of API-verkeer en over meerdere protocollen lopen, vergelijkbaar met geavanceerde tactieken die tot nu toe vooral bij Windows-frameworks werden gezien.

De vondst onderstreept een bredere trend: professioneel ontwikkelde aanvalstools verschuiven hun aandacht naar Linux en cloudplatformen. Organisaties wordt aangeraden hun beveiligingsstrategie voor cloud- en containeromgevingen te versterken en zichtbaarheid op Linux-systemen te verbeteren.