Un actor de amenazas previamente desconocido rastreado como UAT-9921 Se ha observado que aprovecha un nuevo marco modular llamado VoidLink en sus campañas dirigidas a los sectores de tecnología y servicios financieros, según los hallazgos de Cisco Talos.
«Este actor de amenazas parece haber estado activo desde 2019, aunque no necesariamente ha utilizado VoidLink durante su actividad», dijeron los investigadores Nick Biasini, Aaron Boyd, Asheer Malhotra y Vitor Ventura. «UAT-9921 utiliza hosts comprometidos para instalar el comando y control VoidLink (C2), que luego se utilizan para iniciar actividades de escaneo tanto internas como externas a la red».
VoidLink fue documentado por primera vez por Check Point el mes pasado, describiéndolo como un marco de malware rico en funciones escrito en Zig diseñado para un acceso sigiloso a largo plazo a entornos de nube basados en Linux. Se considera que es el trabajo de un único desarrollador con la ayuda de un modelo de lenguaje grande (LLM) para desarrollar sus aspectos internos basándose en un paradigma llamado desarrollo basado en especificaciones.
En otro análisis publicado a principios de esta semana, Ontinue señaló que la aparición de VoidLink presenta una nueva preocupación en la que los implantes generados por LLM, repletos de rootkits a nivel de kernel y características para apuntar a entornos de nube, pueden reducir aún más la barrera de habilidades requerida para producir malware difícil de detectar.
Según Talos, se cree que UAT-9921 posee conocimientos del idioma chino, dado el idioma del marco, y el conjunto de herramientas parece ser una incorporación reciente. También se cree que el desarrollo se dividió entre equipos, aunque el alcance de la demarcación entre el desarrollo y las operaciones reales sigue sin estar claro.
«Los operadores que implementan VoidLink tienen acceso al código fuente de algunos módulos (del kernel) y algunas herramientas para interactuar con los implantes sin el C2», señalaron los investigadores. «Esto indica un conocimiento interno de los protocolos de comunicación de los implantes».
VoidLink se implementa como una herramienta posterior al compromiso, lo que permite al adversario eludir la detección. También se ha observado que el actor de amenazas implementa un proxy SOCKS en servidores comprometidos para iniciar escaneos de reconocimiento interno y movimiento lateral utilizando herramientas de código abierto como Fscan.
La compañía de ciberseguridad dijo que tiene conocimiento de múltiples víctimas relacionadas con VoidLink que se remontan a septiembre de 2025, lo que indica que el trabajo en el malware puede haber comenzado mucho antes de la línea de tiempo de noviembre de 2025 elaborada por Check Point.
VoidLink utiliza tres lenguajes de programación diferentes: ZigLang para el implante, C para los complementos y GoLang para el backend. Admite la compilación bajo demanda de complementos, brindando soporte para las diferentes distribuciones de Linux a las que se puede apuntar. Los complementos permiten recopilar información, movimiento lateral y análisis forense.
El marco también viene equipado con una amplia gama de mecanismos sigilosos para obstaculizar el análisis, evitar su eliminación de los hosts infectados e incluso detectar soluciones de detección y respuesta de puntos finales (EDR) e idear una estrategia de evasión sobre la marcha.
«El C2 proporcionará a ese implante un complemento para leer una base de datos específica que el operador haya encontrado o un exploit para una vulnerabilidad conocida, que se encuentra en un servidor web interno», dijo Talos.
«El C2 no necesariamente necesita tener todas estas herramientas disponibles; puede tener un agente que hará su investigación y preparará la herramienta para que la use el operador. Con la capacidad actual de compilación bajo demanda de VoidLink, la integración de dicha característica no debería ser compleja. Tenga en cuenta que todo esto sucederá mientras el operador continúa explorando el entorno».
Otro rasgo definitorio de VoidLink es su auditabilidad y la existencia de un mecanismo de control de acceso basado en roles (RBAC), que consta de tres niveles de roles: SuperAdmin, Operador y Visor. Esto sugiere que los desarrolladores del marco tuvieron en cuenta la supervisión al diseñarlo, lo que plantea la posibilidad de que la actividad pueda ser parte de ejercicios del equipo rojo.
Es más, hay indicios de que existe un implante principal que ha sido compilado para Windows y puede cargar complementos mediante una técnica llamada carga lateral de DLL.
«Esta es una prueba de concepto casi lista para la producción», dijo Talos. «VoidLink está posicionado para convertirse en un marco aún más poderoso en función de sus capacidades y flexibilidad».