Aralık 2025'te, Check Point Research (CPR) siber güvenlik uzmanları, VoidLink adlı sofistike bir yeni araç setini keşfetti. Çoğu hacker Windows'u hedef alırken, VoidLink, büyük şirketler tarafından kullanılan Linux tabanlı bulut ortamları'nda yaşamaya özel olarak inşa edilmiş bir bulut öncelikli tehdittir.
Araştırma, geliştiricilerin muhtemelen Çin ile bağlantılı bir grup olduğunu ve elit teknik becerilere sahip olduklarını ortaya koyuyor. Zig, Go, C ve React gibi dillerde yetkinler ve hedeflerini kontrol etmek için Çince profesyonel bir web kontrol paneli bile oluşturmuşlar.
VoidLink Nasıl Çalışır
VoidLink son derece zekidir. Bir sistemi enfekte ettiğinde, otomatik olarak Amazon (AWS), Google Cloud, Microsoft Azure, Alibaba veya Tencent üzerinde çalışıp çalışmadığını kontrol eder. Bu listeyi DigitalOcean ve Huawei'yi de eklemek için genişletme planları bile var.
İçeri girdiğinde, dijital bir casus olarak hareket eder. Araştırmacılara göre, yazılım mühendisleri tarafından kullanılan gizli anahtarlar, SSH anahtarları ve Git girişleri gibi kimlik bilgilerini avlar. Ayrıca, şirketlerin modern uygulamalarını çalıştırmak için kullandığı Docker ve Kubernetes gibi konteynerlerin içinde de gizlenebilir.
Gelişmiş Gizlenme ve Saklanma
Araştırmacılar, VoidLink'in bir kamuflaj ustası olduğunu belirtti. Bulduğu Linux sürümüne bağlı olarak, üç farklı gizlenme yönteminden birini seçiyor: LD_PRELOAD, eBPF veya LKM. Operatörleriyle iletişim kurmak için, VoidStream adlı özel bir protokol kullanıyor. Bu protokol, çalınan verileri masum web sitesi dosyaları, örneğin resimler (PNG'ler) veya standart kod (JS/CSS) gibi görünmesini sağlıyor.
Daha fazla araştırma, yazılımın son derece modüler olduğunu ve 37 eklenti sistemine sahip olduğunu ortaya koydu. Bu, hackerların kanıtları silmek veya kendi erişim seviyelerini artırmak gibi yeni özellikleri anında eklemelerine olanak tanıyor.
Uyarlanabilir Savunma Kaçışı
Bildigimiz gibi, çoğu kötü amaçlı yazılım statiktir, ancak VoidLink uyarlanabilir gizlilik kullanır. Güvenlik yazılımlarını tarar ve çevreye bir risk puanı verir. Eğer risk yüksekse, daha yavaş çalışarak ortama uyum sağlamaya çalışır. Diğer enfekte bilgisayarlarla bir ağ oluşturabilir ve mesajları doğrudan açık internete bağlanmadan iletebilir.
Belki de en etkileyici olanı, eğer VoidLink bir güvenlik uzmanının onu analiz etmeye çalıştığını tespit ederse, hiçbir iz bırakmadan kendini silmesidir. Henüz gerçek dünya kurbanları rapor edilmemiş olsa da, araştırmacılar kodun o kadar iyi işlendiğini ve belgelerinin o kadar düzenli olduğunu belirtti ki, bu yazılımın diğer suçlulara satılmak üzere tasarlanmış olabileceğini düşündürüyor. Şimdilik, uzmanlar şirketleri bu yeni tehdit karşısında bulut savunmalarını güçlendirmeye çağırıyor.
(Fotoğraf: Growtika Unsplash'ta)
