VoidLink is a cloud-focused Linux malware, likely built by one person using AI, offering loaders, rootkit evasion, and modular plugins.

VoidLink's framework marks the first evidence of fully AI-designed and built advanced malware, beginning a new era of AI-generated malware

The recently discovered cloud-focused VoidLink malware framework is believed to have been developed by a single person with the help of an artificial intelligence model.

The new framework maintains long-term access to Linux systems while operating reliably in cloud and container environments

A newly discovered advanced cloud-native Linux malware framework named VoidLink focuses on cloud environments, providing attackers with custom loaders, implants, rootkits, and plugins designed for modern infrastructures.

出典：Nico El Nino / Alamy Stock Photo Linuxシステムを標的とする高度なクラウドファーストのマルウェア・フレームワークが、ほぼ全面的に人工知能（AI）によって作成された。これは、先進的なマルウェア開発における同技術の利用が大きく進化していることを示す動きだ。 VoidLink — さまざまなクラウド重視の機能とモジュールで構成され、Linuxシステムへの長期的な永続アクセスを維持するよう設計されている — は、AIによって完全にオリジナルのマルウェアが開発された初の事例だと、これを発見し先週マルウェア・フレームワークの詳細を公表したCheck Point Researchは述べている。 AI生成のマルウェアは他にも存在するが、通常は「FunkSecのケースのように経験の浅い脅威アクターに結び付けられているか、あるいは既存のオープンソースのマルウェアツールの機能を大部分でなぞったものだった」と、Check Pointが火曜日に公開した追補のブログ投稿で述べている。実際、他のAI生成マルウェアには暗号資産マイナーのKoskeがあり、これは手本にできる別のマイナーが存在していた。 しかしCheck Pointの研究者は、VoidLinkの「成熟度の高さ、高機能性、効率的なアーキテクチャ、そして柔軟で動的な運用モデル」に強い印象を受けたという。フレームワークが主としてAI生成であることを突き止めた後、Check Pointは、熟練したマルウェア開発者がAIツールで成し得ることについて警鐘を鳴らしていると、投稿は伝えている。 「本件は、AIが単独のアクターに、以前は連携したチームを要した速度で複雑なシステムを計画・構築・反復させ得る危険性を浮き彫りにしている。結果として、従来は高リソースの脅威アクターからしか生じなかった高複雑度の攻撃を常態化させてしまう」とCheck Pointは記した。 Check Pointの調査はまた、新種のLinuxマルウェアがどのように開発されたのか、その開発にAIが果たした役割、そして複雑な新たな脅威の背後にいる開発者の思考プロセスについても、独自の視点を提供した。 OPSECの失敗がVoidLinkのAI由来を露呈 このマルウェア・フレームワークは、特定されていない中国のアクターが関与している疑いがあり、カスタムローダー、インプラント、ルートキット、およびモジュール式プラグインを含む。また、Linux環境をプロファイリングし、検知されずに動作するための最適な戦略を知的に選択することで、可能な限り回避を自動化している。 実際、Check Pointの研究者がVoidLinkをリアルタイムで追跡したところ、機能する開発ビルドのように見えたものが、短期間で完全稼働する包括的なモジュール式フレームワークへと急速に変貌していく様子を確認した。 しかし、マルウェア自体は当初から高機能だった一方で、VoidLinkの作成者は実行面でやや杜撰だったことが判明した。研究者によれば、開発者による一連の運用セキュリティ（OPSEC）の失敗により開発アーティファクトが露出し、それを手掛かりにVoidLinkの開発の足跡をAI起源まで遡ることができたという。 これらのアーティファクトは、開発者が作成プロセスにおいて一定のパターンに従っていたことを示唆していた。すなわち、一般的なガイドラインと既存のコードベースに基づいてプロジェクトを定義し、AIサービスにそれらのガイドラインをアーキテクチャへ落とし込み、詳細なコーディング指針と制約を伴う3つの別チームにまたがる計画を構築させ、最後にエージェントを実行して実装を進める、という流れである。 「これらの資料は、マルウェアが主としてAI主導の開発によって作られ、1週間足らずで最初の機能するインプラントに到達したことを示す明確な証拠を提供している」と投稿は述べている。 TRAE SOLOでVoidLinkを構築 Check Pointは12月、これまで見られなかった未成熟なLinuxマルウェアサンプルのクラスターからVoidLinkを発見したが、その開発は2025年11月下旬に始まった可能性が高いとみている。開発者は、AI中心の統合開発環境（IDE）であるTRAEに組み込まれたAIアシスタント「TRAE SOLO」を使用していた。 Check Pointの研究者は、モデルに与えられた当初の指示の重要部分を保持するヘルパーファイルを確認した。これらはマルウェアのソースコードと一緒に脅威アクターのサーバーへコピーされたように見えたという。その後、オープンディレクトリが露出していたためにそれらが表面化し、CheckPointによれば、研究者は「プロジェクト最初期の指示に対して異例なほど直接的な可視性」を得た。 このケースでは、TRAEが中国語の指示書を生成しており、冒頭の指示はVoidLinkを直接構築することではなく、薄い骨格（スケルトン）を中心に設計し、それを動作するプラットフォームへ仕上げるための具体的な実行計画を作成することだったことを示唆していた。 「このアプローチが純粋に実務的で、プロセスを効率化する意図によるものなのか、それとも初期段階でガードレールを回避し、後にエンドツーエンドのマルウェア開発を可能にするための意図的な『脱獄（jailbreak）』戦略なのかは不明だ」とCheck Pointは述べている。 研究者はまた、中国語で書かれMarkdownファイルとして提供されていた内部計画資料も発見した。そこには「大規模言語モデル（LLM）の特徴がすべて見て取れる。高度に構造化され、書式が一貫しており、例外的に詳細だ」とされている。文書にはスケジュール、機能の内訳、コーディング指針などが含まれ、VoidLinkの開発が3つの別々の開発チームに分けて担当されていたことを示す証拠もあった。 AI生成マルウェアの未来は、いま現実に Check Pointによれば、防御側にとって、AIが悪意あるアクターの「戦力増幅装置（フォース・マルチプライヤー）」になっていることは驚くべきことではない。しかしこれまで、AI主導の活動は洗練されていない作戦や経験の浅いアクターによるものだった。VoidLinkは「その基準線を押し上げ」、脅威アクターがマルウェアを開発し悪意ある活動を行う速度と規模をどのように増幅できるかを示している、とCheck Pointは述べた。 「完全にAIが統率する攻撃ではないものの、VoidLinkは、長らく待ち望まれてきた高度なAI生成マルウェアの時代が始まった可能性が高いことを示している」とブログ投稿は述べている。 これは、防御側も同様に対応し、マルウェアやその他のセキュリティ脅威の検知と阻止を支援するAI強化型セキュリティソリューションを活用しなければならないことを意味すると、研究者は指摘した。VoidLinkのAI起源の発見はまた、Check Pointによれば、どれほど多くの他のAI生成マルウェアがすでに存在し、近い将来、手強い敵として現場に出てくるのかという新たな疑問も投げかけている。 「私たちがその真の開発の経緯を突き止められたのは、開発者の環境を垣間見るという稀な機会があったからだ。これは、ほとんど得られない可視性である」と研究者は記した。「では、AIを使って構築されたにもかかわらず、それを示すアーティファクトを何も残していない高度なマルウェア・フレームワークが、他にどれほど存在するのだろうか？」 翻訳元:

VoidLink's framework marks the first evidence of fully AI-designed and built advanced malware, beginning a new era of AI-generated malware

created and maintained by Chinese-speaking developers read more about New VoidLink malware framework targets Linux cloud servers

Key Points: VoidLink is a cloud-native Linux malware framework built to maintain long-term, stealthy access to cloud infrastructure rather than targeting

Výzkumníci ze společnosti Check Point Research odhalili pokročilý Linuxový malware s názvem VoidLink, jehož 88 000 řádků kódu vytvořila AI. Framework rozpoznává hlavní cloudové platformy včetně AWS, Google Cloud, Microsoft Azure, Alibaba a Tencent Cloud a dokáže adaptovat své chování, pokud detekuje, že běží uvnitř Docker kontejneru nebo Kubernetes podu. Malware disponuje více než 30 modulárními pluginy pokrývajícími široké spektrum funkcí. Od průzkumu a sběru přihlašovacích údajů přes laterální pohyb až po anti-forenzní nástroje a rootkit schopnosti. Díky své architektuře inspirované Cobalt Strike Beacon představuje VoidLink výrazně sofistikovanější hrozbu než typický Linuxový malware. zdroj: thehackernews.com

: AI + skilled malware developers = security threat

Introduction: A New Nightmare for Linux Security A dangerous new Linux malware strain known as VoidLink has been exposed by cybersecurity researchers at Sysdig, sending shockwaves through the infosec community. Built using the Zig programming language, this stealthy threat leverages fileless execution, multi-stage loaders, and server-side compiled kernel rootkits to remain nearly invisible. Even more alarming, VoidLink communicates using covert channels such as eBPF and ICMP, making detection extremely difficult.

Check Point researchers have discovered a modular malware framework likely designed by Chinese developers to harvest credentials for cloud environments.

The discovery of VoidLink, the new Linux malware framework that Techzine wrote about earlier, marks an important turning point in the world of

Linuxベースのクラウドサーバーを標的とする、最近発見されたLinuxマルウェア「VoidLink」は、ほぼ全体がAIによって生成された可能性が高いと研究者らは述べた。 先週、Check Pointのサイバーセキュリティアナリストが初めて詳細を報告したこの新たなマルウェアは、30以上のモジュール式プラグインで構成され、Linuxシステムへの長期的なアクセスを維持するよう設計されている。 当初は、VoidLinkの高度さとモジュール性、そして急速なペースで開発された手法から、潤沢なリソースを持つ経験豊富なサイバー犯罪組織の犯行だと考えられていた。 しかし追加分析の結果、Check Point Researchは、VoidLinkは主にAIによって構築され、おそらく1人の指揮の下で作られたと結論づけた。AIおよびAIエージェントは単にコードを書くためだけでなく、プロジェクト全体の計画、構造化、実行にまで用いられていた。 「VoidLinkは、待ち望まれていた高度なAI生成マルウェアの時代が、おそらく始まったことを示している」とCheck Pointのブログ投稿は述べている。 「経験豊富な個人の脅威アクターやマルウェア開発者の手にかかれば、AIは、高度で経験豊富な脅威グループが作成したものに似た、洗練され、ステルス性が高く、安定したマルウェアフレームワークを構築できる。」 研究者がVoidLinkの構築にAIが関与していると気づく上で重要だったのは、プロジェクトに付随していた開発計画であり、開発者が誤って露出させたものだった。 そこには、スプリント、設計アイデア、タイムラインに関する計画文書が含まれており、30週間分の開発を示していた。 しかし研究者らは、VoidLinkの進化の観察から、実際にははるかに短い期間、わずか4週間でリリースされたことを示唆しており、開発計画がAIモデルによって生成され、統括されていた明確な兆候があると指摘している。 「AIが作成した文書は通常、非常に綿密であるため、これらの成果物の多くにはタイムスタンプが付され、異例なほど多くの情報が明らかになっていた。これらは、1週間にも満たないうちに、単独の個人がVoidLinkを概念から、動作し進化する現実へと推し進めた可能性が高いことを示している」とCheck Pointは述べた。 また、開発者がAIエージェントに与えた当初のプロンプトは、VoidLinkを直接構築することに基づくものではなく、初期の骨格設計の周辺に、後にマルウェアとなるものを作り出すことに基づいていたことも観察された。研究者らは、これは開発者がAIツールのガードレールを試していた可能性があると示唆している。 開発者はまた、定期的なチェックポイントを活用してAI生成コードを確認し、モデルが指示どおりに開発していること、そしてコードが動作することを確かめていた。 その結果、VoidLinkを最初に詳細化した研究者らが「洗練され、現代的で、機能が豊富」と評したマルウェアが生み出された。 いまや、このマルウェアがAIの強い関与のもとで作成されたことが判明したことで、研究者らは、これはマルウェア開発およびサイバー脅威への防御における転換点を示すものだと示唆している。 「セキュリティコミュニティは長らく、AIが悪意あるアクターにとっての戦力増強要因になると予期してきた。しかしこれまで、AI主導の活動の最も明確な証拠は、主として低い洗練度の作戦で表面化しており、しばしば経験の浅い脅威アクターに結び付けられ、通常の攻撃を超えて意味のある形でリスクを高めるものではなかった」とCheck Pointは述べた。 ブログ投稿は、「VoidLinkはその基準を押し上げる。AIが有能な開発者の手に渡ったとき、その洗練度は、深刻な攻撃能力が生み出される速度と規模の双方を実質的に増幅し得ることを示している」と結論づけている。 翻訳元: