Investigadores en ciberseguridad han revelado los detalles de VoidLink, un framework de malware avanzado y previamente no documentado, diseñado específicamente para mantener acceso sigiloso y persistente a largo plazo en entornos cloud basados en Linux. El descubrimiento, realizado por Check Point Research, confirma una tendencia creciente: los actores de amenazas están trasladando sus operaciones más sofisticadas desde Windows hacia infraestructuras Linux que sustentan servicios críticos en la nube.
Según el informe publicado esta semana, VoidLink fue detectado por primera vez en diciembre de 2025 y destaca por ser una plataforma modular, flexible y en constante evolución, creada para adaptarse dinámicamente a diferentes objetivos y entornos cloud.
Un framework de malware diseñado para la nube moderna
A diferencia del malware tradicional para Linux, VoidLink no es una herramienta aislada, sino un ecosistema completo de post-explotación. El framework incluye loaders personalizados, implantes persistentes, rootkits y más de 30 módulos plug-in, lo que permite a los operadores ampliar, modificar o reemplazar capacidades a lo largo del tiempo.
“La arquitectura de VoidLink es extremadamente flexible y altamente modular, centrada en una API de plugins personalizada inspirada en el enfoque Beacon Object Files (BOF) de Cobalt Strike”, explicó Check Point.
Este diseño permite que VoidLink funcione como una plataforma viva, capaz de pivotar cuando cambian los objetivos o el contexto operativo, algo clave en entornos cloud dinámicos.
Cambio estratégico: de Windows a Linux
Los investigadores señalan que VoidLink refleja un cambio estratégico claro en el panorama de amenazas. Linux se ha convertido en la base de los servicios en la nube, microservicios, contenedores y pipelines DevOps, lo que lo transforma en un objetivo de alto valor para actores avanzados.
Check Point atribuye VoidLink a actores de amenazas afiliados a China, destacando su mantenimiento activo y evolución constante, características habituales en operaciones de ciberespionaje de largo plazo.
Malware cloud-native escrito en Zig
Uno de los elementos más llamativos de VoidLink es su implante principal escrito en el lenguaje de programación Zig, una elección poco común que complica el análisis y la detección. El framework es capaz de detectar automáticamente los principales proveedores cloud, incluyendo:
-
Amazon Web Services (AWS)
-
Google Cloud Platform (GCP)
-
Microsoft Azure
-
Alibaba Cloud
-
Tencent Cloud
Además, adapta su comportamiento si detecta que se ejecuta dentro de un contenedor Docker o un pod de Kubernetes, optimizando su persistencia y evasión en estos entornos.
VoidLink también puede recopilar credenciales cloud, tokens y secretos, así como datos de sistemas de control de versiones como Git, lo que sugiere un interés directo en desarrolladores de software y cadenas de suministro.
Capacidades técnicas avanzadas
Entre las capacidades más destacadas de VoidLink se encuentran:
-
Funciones tipo rootkit, utilizando:
-
1LD_PRELOAD
-
Módulos de kernel cargables (LKM)
-
eBPF
Estas técnicas permiten ocultar procesos y actividades según la versión del kernel Linux.
-
-
Sistema de plugins en memoria, que evita artefactos en disco y dificulta el análisis forense.
-
Múltiples canales de comando y control (C2):
-
HTTP/HTTPS
-
WebSocket
-
ICMP
-
Tunelización DNS
-
-
Comunicación peer-to-peer (P2P) o en topología mesh, lo que mejora la resiliencia frente a interrupciones del C2.
Panel de control y operación completa del ataque
VoidLink incorpora un panel de control web en chino, desde el cual los atacantes pueden:
-
Controlar implantes remotamente
-
Generar builds personalizados en tiempo real
-
Gestionar archivos, tareas y plugins
-
Ejecutar todas las fases del ataque
El framework cubre el ciclo completo de una intrusión avanzada: reconocimiento, persistencia, movimiento lateral, escalada de privilegios y evasión, incluyendo el borrado de rastros maliciosos.
![]() |
| Panel de constructor para crear versiones personalizadas de VoidLink |
37 plugins: un arsenal post-explotación completo
VoidLink soporta 37 plugins, transformándolo en un framework post-explotación de nivel empresarial. Entre las categorías principales destacan:
-
Anti-forense:
-
Limpieza o manipulación de logs
-
Borrado de historial de shell basado en palabras clave
-
Timestomping para ocultar modificaciones de archivos
-
-
Cloud y contenedores:
-
Enumeración de Kubernetes y Docker
-
Escaladas de privilegios
-
Escape de contenedores
-
Detección de malas configuraciones
-
-
Robo de credenciales:
-
Claves SSH
-
Credenciales Git
-
Contraseñas locales
-
Cookies y credenciales de navegadores
-
Tokens y claves API
-
-
Movimiento lateral:
-
Propagación tipo gusano basada en SSH
-
-
Persistencia:
-
Abuso dinámico de enlaces simbólicos
-
Cron jobs
-
Servicios del sistema
-
-
Reconocimiento profundo del sistema y entorno cloud
Antianálisis y evasión automatizada
Check Point describe VoidLink como “impresionante” y “mucho más avanzado que el malware típico de Linux”. El framework incluye un orquestador central que gestiona comunicaciones C2 y ejecución de tareas, además de múltiples técnicas antianálisis:
-
Detección de depuradores y herramientas de monitoreo
-
Autodestrucción si detecta manipulación
-
Código automodificable, que descifra regiones en tiempo de ejecución y las vuelve a cifrar cuando no se usan
-
Enumeración de productos de seguridad y hardening instalados
Con esta información, VoidLink calcula una puntuación de riesgo del entorno y ajusta su comportamiento, por ejemplo, ralentizando escaneos o reduciendo actividad en sistemas bien protegidos.
“VoidLink pretende automatizar la evasión tanto como sea posible, perfilando el entorno y eligiendo la estrategia más adecuada para operar en él”, señaló Check Point.
Una amenaza crítica para la nube y DevOps
VoidLink representa una amenaza seria para entornos cloud, Kubernetes y cadenas de suministro de software. Su enfoque modular, su capacidad de adaptación y su profundo conocimiento del kernel Linux lo convierten en una herramienta ideal para ciberespionaje, robo de propiedad intelectual y ataques persistentes avanzados (APT).
Para las organizaciones, este descubrimiento refuerza la necesidad de:
-
Endurecer configuraciones cloud y Kubernetes
-
Proteger credenciales y secretos
-
Monitorear comportamiento anómalo en Linux
-
Auditar accesos SSH y pipelines DevOps
Fuente: The Hacker News

