"ИИ, создай идеальный вирус для Linux, который умеет всё" — результат превзошел ожидания хакеров: встречайте VoidLink
Это не просто вредонос, а целая империя из зараженных серверов.
Исследователи из Cisco Talos разобрали новый вредоносный фреймворк VoidLink, рассчитанный на системы под управлением Linux. Речь идет о модульной платформе для управления зараженными узлами и загрузки плагинов. Такой класс инструментов давно используют в атаках и пентест-операциях. Среди известных примеров: Cobalt Strike, Manjusaka, Alchimist и SuperShell. Появление VoidLink показывает, что подобные платформы выпускают все быстрее, а цикл разработки заметно сокращается.
Talos отслеживает оператора, который первым начал применять VoidLink, под обозначением UAT-9921. По оценке исследователей, эта группа активна как минимум с 2019 года, хотя сам VoidLink появился в их арсенале недавно. Захваченные серверы злоумышленники используют для разворачивания узлов управления, а затем запускают сканирование как внутри сети жертвы, так и во внешнем сегменте.
Аналитики считают, что разработчики и операторы инструментария знакомы с китайским языком. На это указывают строки в коде, комментарии и заметки по планированию, сделанные в среде разработки с ИИ-функциями. При этом Talos не видит признаков того, что во время самих атак и постэксплуатационных действий применяются ИИ-инструменты. Помощь таких средств заметна именно на этапе написания кода.
Установлено, что операторы имеют доступ к исходникам части модулей и к отдельным утилитам для работы с зараженными узлами напрямую, без центрального сервера управления. Это означает знание внутренних протоколов обмена между компонентами. Разработка VoidLink, по всей видимости, распределена между несколькими командами, но степень изоляции между авторами кода и теми, кто проводит атаки, пока неясна. Известно, что у операторов есть исходные тексты модулей ядра и инструменты для прямого взаимодействия с внедренными компонентами.
По данным Talos, чаще всего первоначальный доступ получают либо через заранее добытые учетные данные, либо через уязвимости сериализации Java с возможностью удаленного выполнения кода. В качестве примера приводится Apache Dubbo. Есть и косвенные признаки заражений через вредоносные документы, но образцы таких файлов исследователям получить не удалось.
После закрепления на сервере загружается компонент VoidLink. Он помогает скрыть присутствие атакующих и узел управления. Для дальнейшего перемещения по сети используется SOCKS-прокси, развернутый на скомпрометированной машине. Через него утилита FSCAN проводит разведку внутреннего сегмента. Таким способом подбираются новые цели и маршруты для бокового перемещения.
Среди пострадавших чаще встречаются технологические компании, реже финансовые организации. При этом функциональность VoidLink учитывает работу в облачных средах, а операторы сканируют целые сети класса C. Это говорит о том, что жесткой отраслевой привязки у кампаний нет. Talos отдельно отмечает, что из-за развитых механизмов аудита и разграничения ролей нельзя полностью исключить вариант, что часть активности связана с red team-учениями, хотя используются эксплойты и украденные учетные данные.
Известные эпизоды применения VoidLink прослеживаются с сентября и продолжаются как минимум до января 2026 года. Эти даты не противоречат другим публикациям, где упоминался более поздний старт. По версии Talos, ранние сборки относились к ветке 1.0, а более поздние документы описывали уже развитие версии 2.0.
Исследователи обращают внимание на общее направление эволюции таких платформ. С 2022 года Talos наблюдает быстрые фреймворки с упрощенной инфраструктурой, где вся серверная часть укладывается в один исполняемый файл и нет встроенного модуля первичного заражения. VoidLink продолжает эту линию, но заметно расширяет возможности. Его относят к классу инструментов уровня подрядчиков в сфере обороны, то есть с расчетом на сложные и контролируемые операции.
Разработка шла быстро и, по оценке Talos, заняла около 2 месяцев. Такой темп трудно объяснить работой небольшой команды без помощи ИИ-подсказок в среде разработки. Внутри используются 3 языка. Основной внедряемый модуль написан на Zig, плагины на C, серверная часть на Go. Поддерживается сборка плагинов по требованию под нужный дистрибутив Linux.
Архитектура допускает сценарий, при котором зараженный узел запрашивает у сервера управления нужный инструмент под конкретную задачу. Это может быть модуль для чтения базы данных или эксплойт под обнаруженную уязвимость во внутреннем веб-сервисе. С учетом механизма сборки по требованию добавить такие функции несложно. В перспективе часть разведки и перемещений по сети могут выполнять автоматизированные агенты до подключения оператора. Такой подход сокращает время до бокового перемещения и целенаправленного вывода данных, а также приводит к постоянной смене инструментов, что усложняет обнаружение.
Внутри VoidLink есть функции, которые редко встречаются в подобных наборах. Все действия протоколируются, а доступ делится по ролям через модель RBAC. Предусмотрены уровни SuperAdmin, Operator и Viewer. Такой контроль удобен там, где требуется формальный надзор за операциями.
Платформа поддерживает одноранговые P2P-связи между зараженными узлами и маршрутизацию с очередями недоставленных сообщений. В результате внутри сети может строиться скрытая mesh-структура, где одни узлы служат шлюзами для других и помогают обходить сетевые ограничения.
На текущем этапе основные модули ориентированы на Linux. Код написан так, что его относительно легко адаптировать под другие системы. Talos обнаружил признаки сборок под Windows и возможность подгрузки плагинов через DLL sideloading, но образцы получить не удалось. В Linux-версии присутствуют продвинутые возможности. Среди них руткиты на базе eBPF и загружаемых модулей ядра, повышение привилегий в контейнерах и выход из песочницы. Есть и плагины, нацеленные на рабочие станции Linux, что для вредоносного ПО встречается реже, чем атаки на серверы.
VoidLink учитывает облачные среды и умеет определять запуск в Docker или Kubernetes, после чего собирает дополнительные данные и обращается к API поставщика. Встроены механизмы скрытости, проверка наличия EDR-решений и подбор способов обхода. Присутствуют средства запутывания данных и защиты от анализа, которые мешают разбору и удалению внедренных компонентов.
По совокупности возможностей и гибкости VoidLink выглядит как заготовка под мощную универсальную платформу для атак на Linux-инфраструктуру. Talos ожидает, что такие фреймворки будут появляться все чаще и развиваться быстрее за счет автоматизированных средств разработки.