В декабре 2025 команда Check Point Research наткнулась на кластер ранее неизвестных Linux-образцов. Важно, что это были не аккуратные релизы, а рабочие сборки в разработке: в бинарниках оставались отладочные символы и артефакты, характерные для активной инженерной работы. Разные версии заметно отличались друг от друга, что обычно говорит о быстрых итерациях, тестировании модулей и сборке фреймворка, а не одного зловреда под конкретную операцию.
Внутреннее название, которое фигурирует у разработчиков, VoidLink. Написан он на языке Zig (современном низкоуровневом языке с акцентом на безопасность памяти и производительность), что для вредоносного ПО встречается редко, но постепенно становится трендом у тех, кто хочет нестандартный стек и меньшую узнаваемость. Панель управления, судя по интерфейсу, локализована на китайский. Комментарии в коде тоже. Все это указывает на китайское происхождение, хотя само по себе не является железным доказательством заказчика или принадлежности к конкретной группе.
Ключевое уточнение: на момент публикации Check Point не приводила подтверждений реальных заражений. То есть это может быть инструмент, который готовят к продаже, или проект под заказ для конкретного клиента. Но по уровню реализации это явно не учебный эксперимент.
Как устроен VoidLink в реальной среде
Первая особенность это cloud-first логика. После попадания на хост инструмент пытается понять, где он оказался. По данным исследователей, он умеет распознавать AWS, Google Cloud Platform, Microsoft Azure, Alibaba и Tencent. В планах упоминаются Huawei, DigitalOcean и Vultr. Если среда контейнерная, например Docker или Kubernetes, поведение адаптируется. Это важная деталь: авторы проектируют работу не под один сервер, а под типичную современную инфраструктуру с контейнерами и оркестрацией.
Вторая особенность это набор руткитов на выбор. VoidLink, как описывается, может подбирать технику скрытия под версию ядра и условия окружения. В арсенале фигурируют LD_PRELOAD, загружаемые модули ядра и eBPF. Через такие механизмы можно скрывать процессы, файлы, сетевые соединения и сами модули. Отдельно опасно eBPF: на современных системах, где модули ядра жестко ограничены, eBPF может дать крючки и перехват без классического подхода.
Третья часть это модульность. Фреймворк построен вокруг плагинной архитектуры, которая по смыслу напоминает подходы уровня Cobalt Strike, только в Linux-среде. Плагины идут как объектные ELF-файлы, загружаются в память и выполняются без записи на диск. На момент исследования в конфигурации было 37 плагинов, разбитых по задачам: разведка системы и сети, работа с контейнерами и Kubernetes, сбор учетных данных, продвижение по сети, закрепление и зачистка следов.
Что именно собирают такие плагины? Прежде всего то, что держит облачную инфраструктуру на плаву: SSH-ключи, учетные данные Git, токены API, куки браузеров, облачные креды. Для DevOps и SRE это самый неприятный сценарий, потому что один зараженный хост может стать точкой входа не только в конкретный сервер, но и в цепочки поставки. Если где-то на машине лежит ключ к репозиторию или токен к облачному аккаунту, дальше эффект домино зависит только от прав этого токена.
Четвертая линия это защита от анализа. VoidLink, по описанию, умеет определять отладчики, утилиты мониторинга и часть средств защиты. Используется шифрование кода во время выполнения: участки расшифровываются только на короткий момент, отрабатывают и снова шифруются. Это мешает простому сканированию памяти. Если обнаруживается вмешательство, включается самоуничтожение и модули, которые чистят логи, историю оболочки и записи входов, иногда затирая данные случайным мусором, чтобы усложнить восстановление.
Пятая особенность это адаптивное уклонение. Инструмент оценивает, какие защитные продукты стоят на хосте, формирует условный уровень риска и меняет стиль поведения. В более защищенной среде замедляется, действует осторожнее, уменьшает шум. В слабой среде работает агрессивнее. То есть это не статичный набор правил, а попытка подстроиться под обстановку.
И наконец, каналы управления. Заявлена поддержка HTTP/HTTPS, WebSocket, ICMP, а также туннелирование через DNS. Есть незавершенная функция mesh C2, то есть пиринговая сеть между зараженными машинами, через которую можно маршрутизировать команды без прямого выхода в интернет. Если это доведут до рабочего состояния, обнаружение станет еще сложнее, особенно в сегментированных сетях.
Кто в зоне риска и почему это важно
VoidLink выглядит как инструмент, рассчитанный на облачных клиентов и инфраструктуру на Linux, особенно там, где есть Kubernetes и контейнеры. Для провайдеров и крупных компаний это означает, что классические меры безопасности уровня антивируса и внешнего периметра будут недостаточны. Здесь бьют по ядру, по учетным данным, по цепочкам доступа и по внутренним перемещениям.
Отдельно уязвимы компании, где ключи и токены живут слишком долго, лежат в переменных окружения, передаются между машинами, используются как общие. Такая гигиена привычна, пока все работает. Но именно она превращает один скомпрометированный хост в ключ к большому количеству сервисов.
Информация
И еще один вывод, который редко произносят вслух. Linux давно перестал быть просто серверной ОС для внутреннего контура. Это основа облака, контейнеров, инфраструктуры и сборочных пайплайнов. И если на рынке появится инструмент уровня VoidLink, это будет не просто очередная малварь. Это будет угроза, которая чувствует себя дома в современных архитектурах.
Реальных заражений пока не показано, и это единственная хорошая новость в этой истории. Но по уровню разработки это скорее вопрос времени, когда такой фреймворк окажется в реальной операции. Для облачных команд главный вывод скучный, но жизненный: мониторинг целостности ядра, аудит модулей, контроль eBPF, ротация ключей, короткоживущие токены, сегментация, централизованные логи в реальном времени. Потому что когда против вас играют инструментом, который умеет чистить следы, увидеть проблему поздно означает увидеть ее уже после того, как доступы разошлись по всей инфраструктуре.
