Un actor de amenazas previamente desconocido rastreado como UAT-9921 Se ha observado que aprovecha un nuevo situación modular llamado VoidLink en sus campañas dirigidas a los sectores de tecnología y servicios financieros, según los hallazgos de Cisco Talos.
“Este actor de amenazas parece ocurrir estado activo desde 2019, aunque no necesariamente ha utilizado VoidLink durante su actividad”, dijeron los investigadores Nick Biasini, Aaron Boyd, Asheer Malhotra y Vitor Ventura. “UAT-9921 utiliza hosts comprometidos para instalar el comando y control VoidLink (C2), que luego se utilizan para iniciar actividades de escaneo tanto internas como externas a la red”.
VoidLink fue documentado por primera vez por Check Point el mes pasado, describiéndolo como un situación de malware rico en funciones escrito en Zig diseñado para un paso sigiloso a dilatado plazo a entornos de cúmulo basados en Linux. Se considera que es el trabajo de un único desarrollador con la ayuda de un maniquí de lengua extenso (LLM) para desarrollar sus aspectos internos basándose en un ejemplo llamado incremento basado en especificaciones.
En otro estudio publicado a principios de esta semana, Ontinue señaló que la aparición de VoidLink presenta una nueva preocupación en la que los implantes generados por LLM, repletos de rootkits a nivel de kernel y características para apuntar a entornos de cúmulo, pueden achicar aún más la barrera de habilidades requerida para producir malware difícil de detectar.
Según Talos, se cree que UAT-9921 posee conocimientos del idioma chino, entregado el idioma del situación, y el conjunto de herramientas parece ser una incorporación flamante. Asimismo se cree que el incremento se dividió entre equipos, aunque el importancia de la demarcación entre el incremento y las operaciones reales sigue sin estar claro.
“Los operadores que implementan VoidLink tienen paso al código fuente de algunos módulos (del kernel) y algunas herramientas para interactuar con los implantes sin el C2”, señalaron los investigadores. “Esto indica un conocimiento interno de los protocolos de comunicación de los implantes”.
VoidLink se implementa como una utensilio posterior al compromiso, lo que permite al adversario eludir la detección. Asimismo se ha observado que el actor de amenazas implementa un proxy SOCKS en servidores comprometidos para iniciar escaneos de agradecimiento interno y movimiento pegado utilizando herramientas de código descubierto como Fscan.
La compañía de ciberseguridad dijo que tiene conocimiento de múltiples víctimas relacionadas con VoidLink que se remontan a septiembre de 2025, lo que indica que el trabajo en el malware puede ocurrir comenzado mucho antiguamente de la ristra de tiempo de noviembre de 2025 elaborada por Check Point.
VoidLink utiliza tres lenguajes de programación diferentes: ZigLang para el implante, C para los complementos y GoLang para el backend. Admite la compilación bajo demanda de complementos, brindando soporte para las diferentes distribuciones de Linux a las que se puede apuntar. Los complementos permiten compendiar información, movimiento pegado y estudio forense.
El situación todavía viene equipado con una amplia tonalidad de mecanismos sigilosos para obstaculizar el estudio, evitar su aniquilación de los hosts infectados e incluso detectar soluciones de detección y respuesta de puntos finales (EDR) e idear una logística de despreocupación sobre la marcha.
“El C2 proporcionará a ese implante un complemento para descifrar una colchoneta de datos específica que el cirujano haya antitético o un exploit para una vulnerabilidad conocida, que se encuentra en un servidor web interno”, dijo Talos.
“El C2 no necesariamente necesita tener todas estas herramientas disponibles; puede tener un agente que hará su investigación y preparará la utensilio para que la use el cirujano. Con la capacidad contemporáneo de compilación bajo demanda de VoidLink, la integración de dicha característica no debería ser compleja. Tenga en cuenta que todo esto sucederá mientras el cirujano continúa explorando el entorno”.
Otro cualidad definitorio de VoidLink es su auditabilidad y la existencia de un mecanismo de control de paso basado en roles (RBAC), que consta de tres niveles de roles: SuperAdmin, Cámara y Visor. Esto sugiere que los desarrolladores del situación tuvieron en cuenta la supervisión al diseñarlo, lo que plantea la posibilidad de que la actividad pueda ser parte de ejercicios del equipo rojo.
Es más, hay indicios de que existe un implante principal que ha sido compilado para Windows y puede cargar complementos mediante una técnica señal carga pegado de DLL.
“Esta es una prueba de concepto casi letanía para la producción”, dijo Talos. “VoidLink está posicionado para convertirse en un situación aún más poderoso en función de sus capacidades y flexibilidad”.
