サイバーニュース.jp

世界のサイバーなニュースを配信

AI支援で構築されたLinuxマルウェアフレームワーク「VoidLink」が88,000行のコードに到達

カテゴリ:

AIが支援する高度なLinuxマルウェア「VoidLink」の登場

最近発見された高度なLinuxマルウェアフレームワーク「VoidLink」は、一人の開発者が人工知能(AI)モデルの支援を受けて開発したと評価されています。Check Point Researchの新たな調査結果によると、マルウェア開発者のオペレーション上のセキュリティミスから、その開発の起源に関する手がかりが得られました。この最新の洞察により、VoidLinkはAIを主要な開発ツールとして大規模に利用した、初の先進的なマルウェアの事例の一つとなります。

サイバーセキュリティ企業は、「これらの資料は、マルウェアが主にAI駆動開発によって生成され、1週間足らずで最初の機能的なインプラントに到達したという明確な証拠を提供している」と述べ、2025年12月初旬までに88,000行以上のコードに達したことを付け加えました。VoidLinkは、先週初めて公に文書化された、Zigで書かれた機能豊富なマルウェアフレームワークであり、Linuxベースのクラウド環境への長期間にわたるステルスなアクセスを目的として特別に設計されています。このマルウェアは、中国関連の開発環境から生まれたとされていますが、現時点ではその正確な目的は不明であり、実世界での感染は確認されていません。

AI開発の証拠:SysdigとCheck Pointの分析

Sysdigによる追跡分析では、このツールキットが大規模言語モデル(LLM)の助けを借りて開発された可能性が初めて指摘されました。これは、広範なカーネル開発知識とレッドチーム経験を持つ人間が指示したもので、以下の4つの異なる証拠が挙げられています。

  • すべてのモジュールで完全に一貫した書式を持つ、非常に体系的なデバッグ出力
  • デコイ応答テンプレートに埋め込まれたLLMトレーニング例に典型的なプレースホルダーデータ(「John Doe」など)
  • すべてが_v3である統一されたAPIバージョン管理(例:BeaconAPI_v3、docker_escape_v3、timestomp_v3)
  • 考えられるすべてのフィールドをカバーするテンプレートのようなJSON応答

クラウドセキュリティベンダーは、「最も可能性の高いシナリオは、熟練した中国語話者の開発者がAIを使用して開発を加速し(ボイラープレート、デバッグログ、JSONテンプレートの生成)、セキュリティの専門知識とアーキテクチャ自体を提供した」と指摘しました。Check Pointの火曜日のレポートは、この仮説を裏付けており、開発自体がAIモデルを使用して設計され、その後フレームワークの構築、実行、テストに使用されたことを示唆するアーティファクトを特定したと述べています。これにより、概念が加速されたタイムライン内で実用的なツールに効果的に変換されました。

「Spec Driven Development」と「TRAE SOLO」の役割

VoidLinkの開発における一般的なアプローチは、「Spec Driven Development(SDD)」と説明されています。このワークフローでは、開発者は構築するものを指定し、計画を作成し、その計画をタスクに分解し、その後エージェントに実装させます。脅威アクターは2025年11月下旬にVoidLinkの開発を開始し、TRAE SOLOとして知られるコーディングエージェントをタスクの実行に活用したと考えられています。この評価は、TRAE生成のヘルパーファイルがソースコードとともに脅威アクターのサーバーにコピーされ、後に公開されたオープンディレクトリで漏洩したことに基づいています。さらに、Check Pointは、スプリントスケジュール、機能の内訳、コーディングガイドラインに関する中国語で書かれた内部計画資料を発掘しました。これらはすべて、LLM生成コンテンツの特徴(適切に構造化され、一貫した形式で、綿密に詳細化されている)を備えていました。そのような開発計画を詳述した文書の1つは、2025年11月27日に作成されました。この文書は、LLMがマルウェアを追跡、構築、テストするための実行ブループリントとして再利用されたとされています。

開発者が使用したTRAE IDEを使用して実装ワークフローを再現したCheck Pointは、モデルがVoidLinkのソースコードに類似したコードを生成したことを発見しました。「回復されたVoidLinkソースコードに対するコード標準化指示のレビューは、驚くべきレベルの一致を示している」と述べられています。「規約、構造、実装パターンが非常に密接に一致しており、このコードベースがこれらの指示に正確に沿って書かれたことに疑いの余地はない」と結論付けています。

サイバー犯罪におけるAIの脅威の増大

この開発は、AIとLLMが不正行為者に新しい能力を与えるわけではないものの、サイバー犯罪への参入障壁をさらに低下させる可能性があるというもう一つの兆候です。これにより、一人の個人でも複雑なシステムを迅速に構想、作成、反復することが可能になり、高度な攻撃を成功させることができます。これはかつて、多くの労力とリソースを必要とし、国家レベルのアクターにのみ利用可能だったプロセスを合理化するものです。

Check Point ResearchのグループマネージャーであるEli Smadja氏は、「VoidLinkは、高度なマルウェアがいかに作成され得るかという点で、真の変化を示している。際立っていたのは、フレームワークの高度さだけでなく、それが構築された速度だった」と述べました。「AIは、これまで調整されたチームと多大なリソースを必要とした複雑なマルウェアプラットフォームを、一見一人のアクターが数日で計画、開発、反復することを可能にした。これは、AIがサイバー脅威の経済と規模を変えている明確なシグナルである。」

今週公開されたホワイトペーパーで、Group-IBはAIがサイバー犯罪の進化における「第五の波」を促進していると説明し、高度な攻撃を可能にする既製のツールを提供していると述べています。「敵対者はAIを産業化しており、説得、なりすまし、マルウェア開発といったかつての専門スキルを、クレジットカードさえあれば誰でも利用できるオンデマンドサービスに変えています。」シンガポールに本社を置くこのサイバーセキュリティ企業は、ダークウェブフォーラムでのAIキーワードを含む投稿が2019年以降371%増加していることを指摘しています。脅威アクターは、倫理的制限のないダークLLM(Nytheon AI)、脱獄フレームワーク、AIビデオアクター、クローン音声、さらには生体認証データセットをわずか5ドルで提供する合成身元キットなどを宣伝しています。

元INTERPOLサイバー犯罪担当ディレクターで独立戦略アドバイザーのCraig Jones氏は、「AIはサイバー犯罪を産業化しました。かつて熟練したオペレーターと時間を必要としたものが、今や購入、自動化、そして世界規模で拡張できるようになりました」と述べています。「AIはサイバー犯罪者の新たな動機を生み出したわけではありませんが(金銭、影響力、アクセスが依然としてエコシステムを駆動している)、それらの動機が追求される速度、規模、洗練度を劇的に増加させました。」

元記事: https://thehackernews.com/2026/01/voidlink-linux-malware-framework-built.html

投稿をさらに読み込む