Dans les coulisses de VoidLink : le cadre malveillant Linux obscur prêt à infiltrer le cloud

Un kit d’attaque sophistiqué et modulaire donne aux cybercriminels les moyens de s’infiltrer et de persister dans les environnements cloud, suscitant l’inquiétude dans tout le paysage de la cybersécurité.

Tard dans la nuit, une équipe de chercheurs de Check Point a plongé dans les bas-fonds du numérique et a fait une découverte glaçante : une nouvelle génération de malware Linux, conçue spécifiquement pour le cloud, pensée pour la furtivité et dotée d’une puissance modulaire redoutable. Baptisé « VoidLink », ce framework malveillant est encore en développement - mais son arsenal et ses intentions annoncent une menace imminente pour l’épine dorsale des infrastructures modernes.

En bref

VoidLink est un framework de malware Linux modulaire écrit en Zig, ciblant les environnements cloud comme AWS, Azure, GCP, Alibaba et Tencent.
Ses fonctionnalités incluent des loaders personnalisés, des implants, des rootkits et un système de plugins en mémoire pour des attaques adaptatives et furtives.
Il peut voler des identifiants de services cloud, de Git et de systèmes de gestion de versions - ouvrant la voie à l’espionnage ou à des attaques sur la chaîne d’approvisionnement.
Les opérateurs utilisent un tableau de bord web localisé en chinois pour gérer jusqu’à 37 plugins dédiés à la reconnaissance, au déplacement latéral et à la persistance.
Aucune infection réelle confirmée à ce jour, mais l’évolution rapide de ses fonctionnalités laisse présager des ambitions commerciales ou une utilisation par des acteurs malveillants sur mesure.

L’architecture de VoidLink ressemble à une liste de souhaits pour cybercriminels. Au cœur du système, des loaders et implants personnalisés conçus pour s’infiltrer dans les systèmes Linux - en particulier ceux qui alimentent le cloud. Écrit dans le langage émergent Zig, VoidLink peut détecter sur quelle plateforme cloud il a atterri, d’AWS et Azure à Alibaba et aux clusters Kubernetes, et adapter son comportement pour une furtivité maximale.

Une fois déployé, VoidLink fonctionne via un loader en deux étapes. Première étape : scanner le système à la recherche d’outils de sécurité et de mesures de renforcement, puis calculer un score de risque. Sur cette base, il adapte sa stratégie d’évasion, utilisant des techniques de type rootkit - comme LD_PRELOAD, LKM et eBPF - pour s’enfouir profondément et masquer ses traces. Un système de plugins en mémoire permet aux opérateurs d’activer de nouvelles capacités à la volée, rendant la détection encore plus difficile.

La communication est tout aussi polyvalente. VoidLink peut relayer des commandes via plusieurs canaux - HTTP/HTTPS, ICMP, tunneling DNS, ou même des réseaux peer-to-peer entre machines infectées. Son module furtif contient des rootkits ciblant différentes versions du noyau Linux, ne déployant que ce qui est nécessaire pour chaque environnement. Des fonctionnalités anti-analyse le protègent en outre des chercheurs en sécurité et des défenses automatisées.

Qui se cache derrière VoidLink ? Des indices pointent vers un environnement de développement affilié à la Chine, avec un tableau de bord web localisé pour des opérateurs chinois. Ce tableau de bord offre un contrôle granulaire : les acteurs malveillants peuvent déployer jusqu’à 37 plugins pour tout, de la reconnaissance et du vol d’identifiants à l’injection de processus et la suppression de preuves. Une interface de compilation permet de créer des implants sur mesure, adaptés à la mission - et les paramètres de furtivité peuvent être ajustés à l’exécution, optimisant la sécurité opérationnelle au détriment des performances dans les environnements surveillés.

Malgré son arsenal robuste, Check Point n’a pas encore observé VoidLink à l’œuvre dans la nature. Sa modularité et son API de développement, inspirées du tristement célèbre Cobalt Strike, laissent penser qu’il pourrait bientôt apparaître sur le marché comme kit d’attaque commercial ou comme outil sur mesure pour des acteurs de la menace avancés. Le cloud, déjà sous pression, pourrait bientôt faire face à un nouvel adversaire redoutable.

L’apparition de VoidLink est un rappel brutal : à mesure que les organisations migrent vers le cloud, les attaquants évoluent tout aussi vite. La prochaine vague de cybermenaces ne ciblera pas seulement les terminaux - elle frappera au cœur de notre infrastructure numérique, armée d’outils conçus pour la persistance, la furtivité et l’échelle. La question n’est pas de savoir si VoidLink sera militarisé, mais quand - et qui sera prêt.

WIKICROOK

Rootkit : Un rootkit est un malware furtif qui se dissimule sur un appareil, permettant aux attaquants de contrôler secrètement le système et d’échapper à la détection.
Kubernetes : Kubernetes est un logiciel open source qui automatise le déploiement, la montée en charge et la gestion des applications, facilitant la fiabilité des systèmes pour les entreprises.
LD_PRELOAD : LD_PRELOAD permet de charger des bibliothèques personnalisées pour remplacer des fonctions dans des programmes Unix existants, ce qui permet le débogage, la surveillance ou la modification de fonctionnalités sans changer le code d’origine.
Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
Vol d’identifiants : Le vol d’identifiants se produit lorsque des pirates dérobent des noms d’utilisateur et des mots de passe, souvent via le phishing ou des violations de données, pour accéder illégalement à des comptes en ligne.