VoidLinkの概要と革新性
中国製のLinuxマルウェアフレームワーク「VoidLink」が、クラウド環境を標的とする新たな脅威としてセキュリティ業界に衝撃を与えています。2026年1月13日にCheck Point Researchが詳細な分析を発表し、それに続きSysdig Threat Research Team (TRT) がバイナリの詳細調査を行いました。
VoidLinkの最も画期的な点は、従来のLinuxマルウェアが長年直面してきた「カーネルモジュールのポータビリティ不足」という課題を根本的に解決したことです。従来のLKM (Loadable Kernel Module) ルートキットは、特定のカーネルバージョン用に事前にコンパイルされたモジュールを組み込んでいたため、互換性が厳しく制限されていました。
サーバーサイドでのルートキットコンパイル (SRC)
VoidLinkは、この問題を「サーバーサイドでのルートキットコンパイル (SRC)」という革新的な手法で解決します。C2 (Command and Control) サーバーは、標的の各システムからカーネルのリリース情報、利用可能なコンパイラ、ヘッダーの有無といった詳細なメタデータを受信します。これにより、C2サーバーは標的環境に完全に特化したカーネルモジュールを動的に構築することが可能になります。
コンパイルされたeBPF、ハイブリッド、またはLKMモジュールは、標的のシステムに正確に適合するように提供されます。これは、Krasue RATが7つの事前コンパイル済みルートキットを組み込んでいたのに対し、VoidLinkは無制限のカーネルバージョンをサポートし、クライアントサイドでのビルドツールを一切不要にします。インプラント自体のサイズもわずか1.2MBと非常にコンパクトに保たれています。
AIと開発者の融合:中国発のマルウェアの足跡
技術分析からは、VoidLinkが熟練したプロの開発者とAI支援によるコード生成を巧みに組み合わせていることが示唆されています。組み込まれたカーネルソースには広範な中国語のコメントが見られ、Linux 5.7でkallsyms_lookup_nameのエクスポートが停止されたことに対するkprobeベースの回避策など、高度な技術的専門知識が明確に示されています。
同時に、モジュール全体にわたる統一されたデバッグフォーマット、テンプレート内のプレースホルダーデータ(例: 「John Doe」)、そして全てのプラグイン(BeaconAPI_v3, docker_escape_v3, timestomp_v3)における一貫した_v3バージョン管理といった要素が、AIの関与を強く示唆しています。これは、熟練した中国語を話す開発者がAIを活用して定型コードの生成を加速させつつ、中核となるアーキテクチャとセキュリティの専門知識を提供している可能性が高いことを示唆しています。
高度な回避・制御メカニズム
VoidLinkは、検出を回避し、永続性を確保するために複数の洗練されたメカニズムを備えています。
- セキュリティ製品のプロファイリング: CrowdStrike、SentinelOne、Carbon Black、Falco、Wazuh、OSSEC、osquery、auditdなどのセキュリティ製品をリアルタイムで検出し、プロセス列挙とパスプローブを通じて特定します。
- ビーコンタイミングの調整: セキュリティ製品を検出すると、ビーコンのタイミングを攻撃的(ベース遅延4096ms、ジッター20%)からパラノイドモード(ベース遅延1024ms、ジッター30%)に調整し、検出を回避します。
- 冗長な制御チャネル: 以下の3つの独立した制御チャネルにより、主要なC2チャネルが途絶した場合でも指令を継続します。
prctlマジックインターフェース(0x564Cマジック値によるローカルルートキット制御)- Berkeley Packet Filter (BPF) マップの更新(eBPFベースのステルス性のため)
- ICMP隠蔽チャネル(
0xC0DEマジックIDを持つpingパケットによるリモートコマンド実行)
検出と防御策
その高度な設計にもかかわらず、VoidLinkはランタイム監視を通じて検出が可能です。Sysdig Secureユーザーは、ルートキットのインストール、ファイルレス実行、カーネルモジュールインジェクション、eBPFロードを標的とする専用のルールを利用できます。また、Falcoのデフォルトルールセットには、memfd_createベースのファイルレス実行の検出機能が含まれています。
以下のユニークなシステムコールシーケンスは、VoidLinkの認識可能な振る舞いのシグネチャを形成します:fork、prctl(PR_SET_NAME)、socket、connect、memfd_create、execveat。VoidLinkは、Kubernetesおよびコンテナエスケープ機能、さらにはクラウドネイティブ検出(AWS、GCP、Alibaba、Tencentのメタデータエンドポイント)と組み合わせられており、現代のクラウドインフラストラクチャに対する深刻な脅威となっています。組織は、従来の静的シグネチャではなく、ランタイム脅威検出を優先する必要があります。
完全なC2ダッシュボード、37の運用プラグイン、メッシュネットワーキング機能を含むこのフレームワークの成熟度は、継続的な開発努力と現実世界での運用展開の可能性を示唆しています。
IoC (Indicators of Compromise)
VoidLinkの特定に役立つ侵害指標 (IOC) は以下の通りです。
- Stage 0 Dropper:
70aa5b3516d331e9d1876f3b8994fc8c18e2b1b9f15096e6c790de8cdadb3fc8 - Stage 1 Dropper:
13025f83ee515b299632d267f94b37c71115b22447a0425ac7baed4bf60b95cd - Implant Remote-compile:
4c4201cc1278da615bacf48deef461bf26c343f8cbb2d8596788b41829a39f3f - Self-compile variant:
05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69 - Zig debug variant:
15cb93d38b0a4bd931434a501d8308739326ce482da5158eb657b0af0fa7ba49