VoidLink : un framework malveillant Linux jusqu'alors inconnu et « bien plus avancé » que la plupart des maliciels Linux connus,

Il est conçu pour permettre un accès furtif et durable aux réseaux compromis

Des chercheurs découvrent un framework malveillant qui infecte les machines Linux à l'aide d'un large éventail de modules qui se distinguent par les nombreuses fonctionnalités avancées qu'ils offrent aux pirates. Baptisé VoidLink, ce maliciel inédit comprend plus de 30 modules qui peuvent être utilisés pour personnaliser les capacités afin de répondre aux besoins des attaquants pour chaque machine infectée. Ils peuvent fournir des outils de furtivité et des outils spécifiques pour la reconnaissance, l'escalade des privilèges et les mouvements latéraux à l'intérieur d'un réseau compromis. VoidLink se distingue par sa modularité et sa sophistication.

Ce nouveau maliciel Linux a été découvert par les chercheurs en sécurité de Check Point Research. VoidLink serait un framework malveillant Linux lié à des acteurs de la menace affiliés à la Chine. Il serait jusqu'alors inconnu et spécialement conçu pour permettre « un accès furtif et durable » aux environnements cloud et aux conteneurs basés sur Linux. Dans un rapport publié le 13 janvier, les chercheurs ont noté que VoidLink évolue activement.

Bien qu'aucune preuve d'infection réelle liée à VoidLink n'ait été observée et qu'il ne soit pas clair si le framework est destiné à être vendu comme un outil légitime de test d'intrusion ou comme une boîte à outils cybercriminelle, sa documentation suggère qu'il est destiné à des fins commerciales.


Les développeurs de VoidLink font preuve d'un haut niveau d'expertise technique et d'une grande maîtrise de plusieurs langages de programmation. Avec VoidLink, ils offrent un outil sophistiqué et riche en fonctionnalités permettant de se déplacer dans les environnements cloud et les écosystèmes de conteneurs avec une furtivité adaptative. Les composants peuvent être facilement ajoutés ou supprimés à mesure que les objectifs changent au cours d'une attaque.

Les conclusions du rapport reflètent un changement d'orientation des acteurs malveillants, qui délaissent les systèmes Windows au profit des systèmes Linux, devenus la base des services cloud et des opérations critiques. Les systèmes Windows ont longtemps été la cible de choix des acteurs de la menace, mais les plateformes Linux sont de plus en plus ciblées depuis quelques années. VoidLink a été découvert pour la première fois en décembre 2025.

Présentation de l'architecture du logiciel malveillant VoidLink

En décembre 2025, Check Point Research a identifié un petit groupe d'échantillons de logiciels malveillants Linux inédits qui semblent provenir d'un environnement de développement affilié à la Chine. D'après les chercheurs, bon nombre des fichiers binaires comprenaient des symboles de débogage et d'autres artefacts de développement, ce qui suggère qu'il s'agissait de versions en cours de développement plutôt que d'un outil fini et largement déployé.

VoidLink est un framework avancé de commande et de contrôle (C2) de logiciels malveillants écrit en Zig et composé de chargeurs personnalisés, d'implants, de rootkits et de plus de 30 plug-ins modulaires conçus pour maintenir un accès à long terme aux machines infectées. Son architecture s'articule autour d'un panneau centralisé basé sur le Web qui permet à l'opérateur de contrôler entièrement les agents, les implants et les plug-ins en cours d'exécution.

VoidLink : un maliciel particulièrement dirigé contre le cloud

VoidLink peut cibler les machines au sein des services cloud populaires en détectant si une machine infectée est hébergée sur AWS, Google Cloud, Azure, Alibaba et Tencent. Certains indices laissent penser que les développeurs prévoient d'ajouter des détections...