Un actor de amenazas previamente desconocido rastreado como UAT-9921 se ha observado que aprovecha un nuevo marco modular llamado VoidLink en sus campañas dirigidas a los sectores de la tecnología y los servicios financieros, según los hallazgos de Cisco Talos.

«Este actor de amenazas parece haber estado activo desde 2019, aunque no necesariamente ha utilizado VoidLink durante su actividad», afirman los investigadores Nick Biasini, Aaron Boyd, Asheer Malhotra y Vitor Ventura dijo . «El UAT-9921 utiliza hosts comprometidos para instalar el comando y control de VoidLink (C2), que luego se utilizan para iniciar actividades de escaneo tanto internas como externas a la red».

VoidLink fue primera documentación de Check Point el mes pasado, describiéndolo como un marco de malware rico en funciones escrito en Zig diseñado para el acceso sigiloso y a largo plazo a entornos de nube basados en Linux. Se considera que es el trabajo de un solo desarrollador con la ayuda de un modelo de lenguaje amplio (LLM) para desarrollar sus aspectos internos basándose en un paradigma denominado desarrollo basado en especificaciones .

adsense

En otro análisis publicado a principios de esta semana, Ontinue señaló que la aparición de VoidLink presenta una nueva preocupación, ya que los implantes generados por LLM, repletos de rootkits y funciones a nivel de núcleo para entornos de nube, pueden reducir aún más la barrera de habilidades necesaria para producir malware difícil de detectar.

Según Talos, se cree que el UAT-9921 posee conocimientos del idioma chino, dado el idioma del marco, y el conjunto de herramientas parece ser una adición reciente. También se cree que el desarrollo se dividió entre los equipos, aunque el grado de demarcación entre el desarrollo y las operaciones reales sigue sin estar claro.

«Los operadores que implementan VoidLink tienen acceso al código fuente de algunos módulos [del núcleo] y a algunas herramientas para interactuar con los implantes sin el C2», señalaron los investigadores. «Esto indica un conocimiento interno de los protocolos de comunicación de los implantes».

VoidLink se implementa como una herramienta posterior al compromiso, lo que permite al adversario eludir la detección. También se ha observado que el autor de la amenaza utilizaba un proxy SOCKS en los servidores comprometidos para lanzar escaneos en busca de reconocimiento interno y movimientos laterales utilizando herramientas de código abierto como Fscan .

La empresa de ciberseguridad dijo que tiene conocimiento de múltiples víctimas relacionadas con Voidlink que se remontan a septiembre de 2025, lo que indica que el trabajo en el malware puede haber comenzado mucho antes del plazo de noviembre de 2025 elaborado por Check Point.

VoidLink usa tres lenguajes de programación diferentes: ZigLang para el implante, C para los complementos y GoLang para el backend. Admite la compilación de complementos bajo demanda, lo que proporciona soporte para las diferentes distribuciones de Linux a las que podrían estar dirigidas. Los complementos permiten recopilar información, realizar movimientos laterales y realizar pruebas antiforenses.

El marco también viene equipado con una amplia gama de mecanismos sigilosos para dificultar el análisis, evitar su eliminación de los huéspedes infectados e incluso detectar soluciones de detección y respuesta de puntos finales (EDR) y diseñar una estrategia de evasión sobre la marcha.

«El C2 proporcionará a ese implante un complemento para leer una base de datos específica que el operador haya encontrado o un exploit para una vulnerabilidad conocida, que resulta que se encuentra en un servidor web interno», dijo Talos.

enlaces

«El C2 no necesita necesariamente tener todas estas herramientas disponibles; puede tener un agente que investigue y prepare la herramienta para que la utilice el operador. Con la capacidad actual de compilación bajo demanda de VoidLink, la integración de esta función no debería ser compleja. Tenga en cuenta que todo esto ocurrirá mientras el operador continúe explorando el entorno».

Otro rasgo definitorio de VoidLink es su auditabilidad y la existencia de un mecanismo de control de acceso basado en funciones (RBAC), que consta de tres niveles de funciones: Superadministrador, Operador y Visor. Esto sugiere que los desarrolladores del marco tuvieron en cuenta la supervisión al diseñarlo, lo que plantea la posibilidad de que la actividad forme parte de los ejercicios del equipo rojo.

Además, hay indicios de que existe un implante principal que se ha compilado para Windows y que puede cargar complementos mediante una técnica llamada carga lateral de DLL.

«Esta es una prueba de concepto casi lista para la producción», dijo Talos. «VoidLink está en condiciones de convertirse en un marco aún más potente gracias a sus capacidades y flexibilidad».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.