Pesquisadores da Check Point revelaram a descoberta de VoidLink, um framework de malware voltado a sistemas Linux que agrega mais de 30 módulos, os quais podem ser ativados ou desativados conforme os objetivos de cada campanha. O conjunto promete furtividade, reconhecimento de alvos, elevação de privilégios e movimentação lateral dentro de redes comprometidas.
Entre as capacidades listadas, destaca-se a detecção de ambientes de nuvem: o VoidLink verifica metadados e usa APIs para identificar se a vítima está hospedada na AWS, Google Cloud Platform, Azure, Alibaba Cloud ou Tencent Cloud, com indícios de que suporte a Huawei, DigitalOcean e Vultr pode chegar nas próximas versões. Essa abordagem amplia o alcance para infraestruturas com cargas de trabalho corporativas.
Os autores da pesquisa ressaltam que, embora frameworks semelhantes existam para Windows há anos, no Linux esse tipo de ecossistema é menos comum. A Check Point descreve o conjunto de funcionalidades como inusitado e “muito mais avançado do que o malware típico para Linux”, sugerindo uma mudança de foco de atores maliciosos para ambientes de nuvem e contenção de aplicações.
Em publicação separada, os pesquisadores destacaram que VoidLink se configura como um ecossistema completo voltado a manter acesso furtivo e de longo prazo a sistemas Linux, especialmente os hospedados em nuvem pública e ambientes conteinerizados. A complexidade e o nível de planejamento indicam paralelos com trabalhos de grupos de ciberespionagem profissionais.
A análise aponta que o VoidLink apresenta uma interface localizada para usuários de língua chinesa, reforçando a possibilidade de origem em um ecossistema de desenvolvimento chinês. Embora haja sinais de desenvolvimento ativo, não houve registro de infecções em ambientes de produção até o momento. Os indicadores de compromisso (IOCs) estão disponíveis no blog da Check Point, que também observa a expansão do foco para Linux, nuvem e orquestração de contêineres.
