VoidLink : un framework malveillant Linux jusqu'alors inconnu et « bien plus avancé » que la plupart des maliciels Linux connus,

Il est conçu pour permettre un accès furtif et durable aux réseaux compromis

Des chercheurs découvrent un framework malveillant qui infecte les machines Linux à l'aide d'un large éventail de modules qui se distinguent par les nombreuses fonctionnalités avancées qu'ils offrent aux pirates. Baptisé VoidLink, ce maliciel inédit comprend plus de 30 modules qui peuvent être utilisés pour personnaliser les capacités afin de répondre aux besoins des attaquants pour chaque machine infectée. Ils peuvent fournir des outils de furtivité et des outils spécifiques pour la reconnaissance, l'escalade des privilèges et les mouvements latéraux à l'intérieur d'un réseau compromis. VoidLink se distingue par sa modularité et sa sophistication.

Ce nouveau maliciel Linux a été découvert par les chercheurs en sécurité de Check Point Research. VoidLink serrait un framework malveillant Linux lié à des acteurs de la menace affiliés à la Chine. Il serait jusqu'alors inconnu et spécialement conçu pour permettre « un accès furtif et durable » aux environnements cloud et aux conteneurs basés sur Linux. Dans un rapport publié le 13 janvier, les chercheurs ont noté que VoidLink évolue activement.

Bien qu'aucune preuve d'infection réelle liée à VoidLink n'ait été observée et qu'il ne soit pas clair si le framework est destiné à être vendu comme un outil légitime de test d'intrusion ou comme une boîte à outils cybercriminelle, sa documentation suggère qu'il est destiné à des fins commerciales.


Les développeurs de VoidLink font preuve d'un haut niveau d'expertise technique et d'une grande maîtrise de plusieurs langages de programmation. Avec VoidLink, ils offrent un outil sophistiqué et riche en fonctionnalités permettant de se déplacer dans les environnements cloud et les écosystèmes de conteneurs avec une furtivité adaptative. Les composants peuvent être facilement ajoutés ou supprimés à mesure que les objectifs changent au cours d'une attaque.

Les conclusions du rapport reflètent un changement d'orientation des acteurs malveillants, qui délaissent les systèmes Windows au profit des systèmes Linux, devenus la base des services cloud et des opérations critiques. Les systèmes Windows ont longtemps été la cible de choix des acteurs de la menace, mais les plateformes Linux sont de plus en plus ciblées depuis quelques années. VoidLink a été découvert pour la première fois en décembre 2025.

Présentation de l'architecture du logiciel malveillant VoidLink

En décembre 2025, Check Point Research a identifié un petit groupe d'échantillons de logiciels malveillants Linux inédits qui semblent provenir d'un environnement de développement affilié à la Chine. D'après les chercheurs, bon nombre des fichiers binaires comprenaient des symboles de débogage et d'autres artefacts de développement, ce qui suggère qu'il s'agissait de versions en cours de développement plutôt que d'un outil fini et largement déployé.

VoidLink est un framework avancé de commande et de contrôle (C2) de logiciels malveillants écrit en Zig et composé de chargeurs personnalisés, d'implants, de rootkits et de plus de 30 plug-ins modulaires conçus pour maintenir un accès à long terme aux machines infectées. Son architecture s'articule autour d'un panneau centralisé basé sur le Web qui permet à l'opérateur de contrôler entièrement les agents, les implants et les plug-ins en cours d'exécution.

VoidLink : un maliciel particulièrement dirigé contre le cloud

VoidLink peut cibler les machines au sein des services cloud populaires en détectant si une machine infectée est hébergée sur AWS, Google Cloud, Azure, Alibaba et Tencent. Certains indices laissent penser que les développeurs prévoient d'ajouter des détections pour Huawei, DigitalOcean et Vultr dans les prochaines versions. Pour détecter quel service cloud héberge la machine, VoidLink examine les métadonnées à l'aide de l'API du fournisseur concerné.


VoidLink est capable d'adapter son comportement en conséquence. De plus, VoidLink recueille également les informations d'identification associées aux environnements cloud et aux systèmes standards de contrôle de version du code source, tels que Git. Cela suggère que les ingénieurs logiciels pourraient être une cible potentielle, soit pour des activités d'espionnage, soit pour d'éventuelles attaques futures basées sur la chaîne d'approvisionnement.

La rapidité et la diversité des changements apportés aux échantillons indiquent un framework qui fait l'objet d'itérations rapides pour être utilisé à plus grande échelle dans le monde réel. Selon le rapport de Check Point Research, les capacités des 37 modules découverts à ce jour comprennent :

• techniques axées sur le cloud : outre la détection dans le cloud, ces modules collectent d'énormes quantités d'informations sur la machine infectée, répertorient son hyperviseur et détectent si elle fonctionne dans un conteneur Docker ou un pod Kubernetes ;
• API de développement de plug-ins : VoidLink propose une API de développement étendue qui est configurée lors de l'initialisation du logiciel malveillant ;
• furtivité adaptative : VoidLink énumère les produits de sécurité installés et les mesures de renforcement ;
• fonctions rootkit : elles permettent à VoidLink de se fondre dans l'activité normale du système ;
• commande et contrôle mis en œuvre par le biais de connexions réseau apparemment légitimes vers l'extérieur ;
• anti-analyse grâce à l'utilisation de techniques anti-débogage et de contrôles d'intégrité pour identifier les outils d'analyse courants ;
• un système de plug-ins qui permet à VoidLink d'évoluer d'un implant à un framework post-exploitation complet ;
• reconnaissance fournissant un profilage détaillé du système et de l'environnement, l'énumération des utilisateurs et des groupes, la découverte des processus et des services, le mappage du système de fichiers et des montages, ainsi que le mappage de la topologie et des interfaces du réseau local ;
• collecte des identifiants de connexion, des clés SSH, des mots de passe et des cookies stockés par les navigateurs, des identifiants Git, des jetons d'authentification, des clés API et des éléments stockés dans le trousseau de clés du système.

Pour faciliter l'exfiltration de données, l'escalade de privilèges et les mouvements latéraux dans les environnements conteneurisés, plusieurs modules post-exploitation sont mis en œuvre, allant des échappements automatisés de conteneurs à l'extraction de secrets, en passant par des commandes dédiées aux mouvements latéraux. En fin de compte, l'objectif de cet implant semble être l'accès furtif à long terme, la surveillance et la collecte de données.

Comme rien n'indique que VoidLink cible activement les machines,...