✅ レポートタイトル：VoidLink：AIによって構築された高度なLinuxマルウェア

✅ レポートの要約：

- VoidLinkは、カスタマイズされたローダー、インプラント、ルートキット、モジュール型プラグインで構成される高度なマルウェアフレームワーク構造を持つLinuxマルウェアです。

- VoidLinkのC2サーバーおよび開発環境に基づき、本マルウェアは中国で活動する開発者によって作成されたと推定します。

- VoidLinkの開発者は、AI中心のIDEであるTRAEを積極的に活用し、仕様主導型開発により短期間で設計性と実用性を備えたマルウェアを開発しました。

- 従来、このような高度な設計は手動開発において長期間を要しましたが、近年ではマルウェア開発者がAI/LLMを活用し、高度なマルウェアを迅速に開発・展開する傾向が頻繁に確認されています。

- 中国の開発インフラ内で開発中であったLinuxマルウェアVoidLinkに関連するC2サーバーおよび開発文書が、OPSECの失敗により発見されました。

- VoidLinkマルウェアでは、C2サーバー、Plugins、VoidLink Coreの3つの構成要素が確認されました。

- C2サーバー：特定の設定に基づいたVoidLinkインプラントの生成が可能であり、感染端末の管理を実行します。

- Plugin：VoidLinkに必要な機能をモジュール化し、マルウェアへ適用できます。

- 観測時点では、永続化維持、情報窃取、権限昇格のための35個のプラグインが確認されました。

- VoidLink Core：ダウンローダーを通じて配布され、ユーザーレベルおよびカーネルモジュールレベルで悪性動作を実行します。

- ステルスのため、カーネルレベルに応じてLD_PRELOAD、LKM、eBPFを使用します。

- HTTP通信を偽装してC2サーバーと通信します。

- デフォルトでファイル閲覧、任意コード実行、スキャン、認証情報窃取、システム情報取得をサポートします。

- 生成時に適用されたPluginに応じて追加の悪性動作を実行できます。

- VoidLinkは、AI主導型IDEであるTRAEを用いた仕様主導型開発により、短期間で複雑な構造を持つマルウェアとして開発されました。

- 複雑な悪性機能の追加を容易にするモジュール型アーキテクチャと、エラー処理のための復旧機能を備え、高い安定性を持つよう設計されています。

- マルウェア開発者は開発計画および仕様書の作成を主導し、コードの大部分はAIが作成しました。

- 計画文書によれば、当初は20〜30週間の開発期間が想定されていましたが、実際には1週間で動作可能なマルウェアが作成されたと推定します。

- VoidLinkは現在も開発が進行中であるため、大きな変更が発生する可能性があり、継続的な監視と定期的な観測が必要です。

- 現時点ではデバッグ関連文字列や識別可能なシグネチャが多数存在しますが、今後の開発段階で削除または隠蔽される可能性が高いです。

- シグネチャベースおよびデータパターンベースの検知に加え、振る舞いベースの検知が必要です。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。