كشف باحثون في الأمن السيبراني عن تفاصيل إطار برمجي خبيث غير موثق سابقاً يحمل اسم VoidLink، صُمم خصيصاً للوصول طويل الأمد والخفي إلى بيئات لينكس السحابية. التقرير الصادر عن Check Point Research أوضح أن هذا الإطار يضم مجموعة واسعة من المحملات المخصصة، والغرسات (implants)، والجذور الخفية (rootkits)، بالإضافة إلى إضافات معيارية قابلة للتطوير، ما يمنح المهاجمين القدرة على تعديل وظائفه أو تغيير أهدافه بمرور الوقت.
تم اكتشاف VoidLink لأول مرة في ديسمبر 2025، ويُعتقد أنه من تطوير جهات تهديد مرتبطة بالصين، في مؤشر على تحول تركيز المهاجمين من أنظمة ويندوز إلى لينكس باعتبارها العمود الفقري للخدمات السحابية والعمليات الحيوية.
قدرات سحابية متقدمة
يتميز VoidLink بكونه غرسة “Cloud-First” مكتوبة بلغة Zig، وقادرة على التعرف على بيئات سحابية رئيسية مثل AWS، Google Cloud، Microsoft Azure، Alibaba، وTencent، كما يمكنه التكيف مع بيئات الحاويات مثل Docker وKubernetes.
إضافة إلى ذلك، يستطيع جمع بيانات اعتماد مرتبطة بالخدمات السحابية وأنظمة التحكم في الإصدارات مثل Git، ما يجعله موجهاً بشكل خاص نحو المطورين بهدف سرقة بيانات حساسة أو تنفيذ هجمات على سلاسل التوريد.
منظومة إضافات واسعة
يعتمد الإطار على واجهة إضافات مخصصة (Plugin API) مستوحاة من نهج Cobalt Strike BOF، ويضم أكثر من 30 إضافة افتراضية، مع دعم 37 إضافة متقدمة تشمل:
- مكافحة التحليل الجنائي: مسح أو تعديل السجلات وتاريخ الأوامر، وتغيير الطوابع الزمنية للملفات.
- السحابة والحاويات: اكتشاف Kubernetes وDocker، تنفيذ تصعيد للصلاحيات، والهروب من الحاويات.
- جمع بيانات الاعتماد: استخراج مفاتيح SSH، بيانات Git، كلمات المرور المحلية، بيانات المتصفح، الرموز المميزة، ومفاتيح الـ API.
- الحركة الجانبية: الانتشار عبر شبكة باستخدام دودة تعتمد على بروتوكول SSH.
- الاستمرارية: عبر إساءة استخدام الرابط الديناميكي، وظائف cron، والخدمات النظامية.
- الاستطلاع: جمع معلومات تفصيلية عن النظام والبيئة.
هذه القدرات تجعل VoidLink إطاراً كاملاً لما بعد الاستغلال، قادراً على إدارة دورة الهجوم من الاستطلاع إلى الحركة الجانبية وتجنب الدفاعات.
تقنيات إخفاء وتحايل متقدمة
يحتوي VoidLink على خصائص تشبه الجذور الخفية باستخدام LD_PRELOAD وLKM وeBPF لإخفاء عملياته وفقاً لإصدار نواة لينكس. كما يدعم قنوات اتصال متعددة مع خوادم التحكم والسيطرة (C2) مثل HTTP/HTTPS، WebSocket، ICMP، وDNS tunneling، إضافة إلى القدرة على تشكيل شبكة نظير-إلى-نظير بين الأجهزة المصابة.
الإطار مزود بخصائص مضادة للتحليل، مثل رصد أدوات التصحيح والمراقبة، وحذف نفسه عند اكتشاف أي محاولة عبث، فضلاً عن خاصية تعديل الشيفرة ذاتياً لتشفير وفك تشفير أجزاء محمية أثناء التشغيل، ما يعقد مهمة أدوات الفحص.
الأكثر تقدماً أنه يحلل المنتجات الأمنية المثبتة وإجراءات التحصين على الجهاز المصاب ليحسب “درجة المخاطر”، ويحدد استراتيجية التهرب المناسبة، مثل إبطاء عمليات المسح أو التحكم الدقيق في البيئات عالية الخطورة.
خبرة تقنية عالية وراء التطوير
أشارت Check Point إلى أن مطوري VoidLink يتمتعون بمهارة كبيرة في لغات برمجة متعددة مثل Go، Zig، C، إضافة إلى استخدام أطر حديثة مثل React. كما يمتلكون معرفة عميقة ببنية أنظمة التشغيل، ما مكنهم من تطوير حلول معقدة ومتقدمة.
الهدف النهائي من VoidLink هو أتمتة التهرب قدر الإمكان، عبر تحليل البيئة واختيار الاستراتيجية الأنسب للتشغيل، مما يمنح المهاجمين قدرة على التنقل داخل البيئات السحابية وحاويات التطبيقات بمرونة عالية وسرية متقدمة.
