概要

Cisco Talosの研究者によると、未知の脅威アクターであるUAT-9921は、新しくモジュール化されたフレームワークVoidLinkを使用して、技術および金融サービスセクターを標的としています。

VoidLinkについて

VoidLinkは、Check Pointによって最初に記述され、Zig言語で書かれた特徴豊かなマルウェアフレームワークです。このフレームワークは、長期的なステルス型のクラウド環境へのアクセスを目的としています。

VoidLinkの機能

• 多言語対応: VoidLinkは中国語で書かれているため、開発者が中国人である可能性があります。
• 高度なステルス機能: VoidLinkには、解析を妨げるための幅広いステルスメカニズムが組み込まれています。これにより、マルウェアはインフラストラクチャから削除されにくくなります。
• ロールベースのアクセス制御: VoidLinkにはSuperAdmin、Operator、Viewerという3つの役割レベルがあり、開発者が監視を念頭に置いて設計した可能性があります。

脅威アクターの活動

UAT-9921は、VoidLinkを使用して、ネットワーク内のスキャンや内部リコンなどを行います。また、マルウェアがWindowsで動作するバージョンも存在し、DLLサイドローディング技術を用いてプラグインを読み込むことができます。

セキュリティ上の懸念

Cisco Talosは、LLM（Large Language Model）が生成したインプランツが、カーネルレベルのルートキットやクラウド環境をターゲットとする機能を持つことで、高度なスキルを必要としないハードに検出されにくいマルウェアを作成する障壁をさらに低くすることが懸念されています。

まとめ

VoidLinkは、その柔軟性と強力な機能により、今後さらなる発展が見込まれる可能性があります。セキュリティ専門家たちは、このフレームワークの脅威を監視し続けることが重要であると考えています。

元記事: https://thehackernews.com/2026/02/uat-9921-deploys-voidlink-malware-to.html