Onderzoekers legden een tot nu toe onbekend Linux-framework bloot dat systemen kan besmetten. Het maakt daarbij gebruik van een uitgebreid modulair ontwerp met ongebruikelijk geavanceerde aanvalsmogelijkheden.
Check Point Research ontdekte het framework. De ontwikkelaars noemen het VoidLink. Waarnemers omschrijven het als aanzienlijk geavanceerder dan de meeste bestaande Linux-malware. De ontdekking wijst op een bredere verschuiving waarbij professionele dreigingsactoren Linux steeds vaker beschouwen als een primair doelwit in plaats van een nicheplatform.
VoidLink werd eind 2025 aangetroffen in meerdere Linux-binaries die via VirusTotal beschikbaar waren. Opvallend is dat er geen aanwijzingen zijn dat het framework al actief is ingezet bij aanvallen in het wild. De aangetroffen samples bevatten ontwikkelartefacten zoals debug-symbolen. Dit duidt erop dat het om een framework in actieve ontwikkeling gaat. Ondanks het ontbreken van echte besmettingen oogt het geheel volwassen en doordacht. Dat suggereert dat aanvallers VoidLink voorbereiden op toekomstig operationeel gebruik.
Focus op cloudinfrastructuren
Het framework is geschreven in Zig en ontworpen met moderne cloudinfrastructuren als uitgangspunt. Zodra VoidLink actief is, analyseert het automatisch of het draait binnen publieke cloudomgevingen zoals AWS, Azure of Google Cloud en of het systeem zich in een Docker-container of Kubernetes-pod bevindt. Door gebruik te maken van cloudmetadata via de API’s van de betreffende providers kan VoidLink het malwaregedrag nauwkeurig afstemmen op de omgeving waarin het zich bevindt. Dat maakt VoidLink bijzonder geschikt voor omgevingen waar workloads dynamisch zijn en traditionele detectiemethoden minder effectief blijken.
De architectuur van VoidLink bestaat uit een compacte kern die tijdens runtime kan worden uitgebreid met plugins. Deze modulaire opzet maakt het mogelijk om functionaliteit toe te voegen of te verwijderen afhankelijk van het doel van een aanval. De aangetroffen modules bestrijken een breed spectrum aan post-exploitation-activiteiten, waaronder uitgebreide systeemverkenning, het verzamelen van inloggegevens, laterale beweging binnen netwerken en het realiseren van langdurige persistentie. Daarbij richt VoidLink zich niet alleen op servers, maar ook op werkstations van ontwikkelaars en beheerders die toegang hebben tot cloudomgevingen en broncode.
VoidLink is zo goed als onzichtbaar
Een centraal ontwerpprincipe is stealth. VoidLink detecteert actief beveiligingsmaatregelen zoals Linux EDR-oplossingen en kernel-hardening en past zijn gedrag daarop aan. In omgevingen met strenge monitoring verlaagt het framework automatisch zijn zichtbaarheid, bijvoorbeeld door communicatie te vertragen of activiteiten te spreiden over langere tijd.
Voor het verbergen van processen, bestanden en netwerkverbindingen maakt het gebruik van uiteenlopende technieken, variërend van gebruikersmodusmethoden tot kernelmodules en eBPF-programma’s.
Ook netwerkcommunicatie is ontworpen om zo onopvallend mogelijk te verlopen. Command-and-controlverkeer kan worden vermomd als legitiem web- of API-verkeer en verloopt via meerdere protocollen. Daarmee sluit VoidLink aan bij de tactieken die al langer gangbaar zijn bij geavanceerde Windows-frameworks, maar tot nu toe zelden op Linux zijn waargenomen.
Hoewel VoidLink momenteel vooral een onderzoeksobject is, fungeert het als een duidelijk waarschuwingssignaal. Het laat zien dat Linux, cloudplatformen en containeromgevingen steeds aantrekkelijker worden voor professioneel ontwikkelde aanvalstools en dat organisaties hun beveiligingsaanpak daarop moeten aanpassen.