Im Dezember 2025 identifizierte Check Point Research mehrere bislang unbekannte Linux-Schadprogramme, die sich als Teil eines zusammenhängenden Frameworks herausstellten. Die interne Bezeichnung VoidLink beschreibt eine cloudnative Malware-Plattform, die gezielt für den Einsatz in modernen Infrastrukturen entwickelt wurde. Auffällig ist der frühe Entwicklungsstand vieler Samples: Debug-Symbole und Artefakte deuten darauf hin, dass das Framework aktiv weiterentwickelt wird und noch nicht breit zum Einsatz kommt. Die Architektur legt den Fokus klar auf Linux-Systeme in Cloud- und Container-Umgebungen.

Modulare Architektur

Technisch basiert VoidLink auf einer modularen Kernarchitektur, geschrieben in der Programmiersprache Zig. Ein stabiler Core übernimmt Kommunikation, Zustandsverwaltung und Task-Ausführung, während zusätzliche Funktionen über dynamisch ladbare Plug-ins ergänzt werden. Dieses Plug-in-Konzept erinnert an bekannte C2-Frameworks und erlaubt es, neue Fähigkeiten zur Laufzeit im Speicher zu laden, ohne Spuren auf dem Dateisystem zu hinterlassen. Bereits in der analysierten Version standen mehr als 30 Module zur Verfügung, unter anderem für Aufklärung, Persistenz, Credential Harvesting und laterale Bewegung.

Ein zentrales Merkmal von VoidLink ist der ausgeprägte Cloudfokus. Das Implant erkennt automatisiert, ob es auf Plattformen wie AWS, Azure, Google Cloud, Alibaba oder Tencent läuft und liest Metadaten über die jeweiligen Cloud-APIs aus. Zusätzlich prüft die Malware, ob sie innerhalb von Docker-Containern oder Kubernetes-Pods ausgeführt wird. Spezielle Module unterstützen Container-Escapes, das Auslesen von Secrets und die Bewegung innerhalb von Clustern. Damit geraten insbesondere Cloud-Workloads und DevOps-nahe Systeme in den Fokus.

Malware passt sich an

Für Tarnung und Überlebensfähigkeit setzt VoidLink auf adaptive Stealth-Mechanismen. Beim Start analysiert das Framework vorhandene Sicherheitslösungen, Kernel-Härtungen und Monitoring-Tools und leitet daraus ein Risikoprofil ab. Dieses beeinflusst das Verhalten der einzelnen Module, etwa durch gedrosselte Scans oder angepasste Kommunikationsintervalle. Ergänzt wird dies durch Rootkit-Techniken auf User- und Kernel-Ebene, darunter LD_PRELOAD, klassische Loadable Kernel Modules sowie eBPF-basierte Ansätze für neuere Kernel. Ziel ist es, Prozesse, Dateien und Netzwerkverbindungen zuverlässig zu verbergen.

Die Command-and-Control-Infrastruktur wird über ein webbasiertes Dashboard gesteuert, das Funktionen wie Implant-Builds, Plug-in-Management und Post-Exploitation-Aktivitäten bündelt. Auf Netzwerkebene unterstützt VoidLink verschiedene Protokolle von HTTP und WebSocket bis hin zu DNS- und ICMP-Tunneling, inklusive Verschleierung des Datenverkehrs. Auch Anti-Analyse- und Anti-Forensik-Funktionen sind fest integriert, bis hin zur Selbstlöschung bei Manipulationsversuchen.

Auch wenn bislang keine realen Infektionen bekannt sind, zeigt VoidLink, dass Linux-, Cloud- und Container-Umgebungen zunehmend als hochwertige Ziele betrachtet werden – ein klarer Hinweis für IT-Administratoren, ihre Schutz- und Monitoring-Konzepte entsprechend anzupassen.