✅ 보고서 제목: 보이드링크(VoidLink): AI가 만든 정교한 리눅스 악성코드

✅ 보고서 요약:

- 보이드링크(VoidLink)는 Linux 악성코드로 맞춤형 로더, 임플란트, 루트킷 및 모듈형 플러그인으로 구성된 고급 악성코드 프레임워크 구조를 가지고 있습니다.

- VoidLink의 C2 서버와 개발 환경을 근거로 중국에서 활동하는 악성코드 개발자로 추정됩니다.

- VoidLink 개발자는 TRAE라는 AI 중심 IDE를 적극 활용하여 스펙 주도 개발을 통해 빠른 시간에 잘 설계되고 동작하는 악성코드를 개발합니다.

- 최근 악성코드 개발자들 또한 AI/LLM을 활용하여 악성코드를 개발함으로써 고도화된 악성코드를 신속하게 개발하고 사용하는 경향이 빈번하게 발견되고 있습니다.

- 중국 개발 인프라에서 현재 개발이 진행 중인 Linux 악성코드 VoidLink와 관련된 C2 서버 및 개발 문서들이 OPSEC 실패로 인해 발견되었습니다.

- VoidLink 악성코드에서는 C2 서버, Plugin, VoidLink Core의 3가지 요소가 관찰됩니다.

- C2 서버: VoidLink 임플란트를 설정에 맞추어 생성하며, 감염된 기기 관리를 수행할 수 있습니다.

- Plugin: VoidLink에 필요한 기능을 모듈화하여 악성코드에 적용할 수 있습니다.

- 관찰 당시 지속성 유지, 정보 탈취, 권한 상승 등을 위한 35개의 플러그인이 확인되었습니다.

- VoidLink Core: VoidLink Core는 다운로더를 통해 유포되며, 유저 레벨 및 커널 모듈 레벨에서 악성 행위를 수행합니다.

- 은닉을 위해 커널 레벨에 따라 LD_PRELOAD, LKM, eBPF를 활용합니다.

- HTTP 통신을 위장하여 C2 서버와 통신합니다.

- 파일 조회, 임의 코드 실행, 스캐닝, 계정 정보 탈취, 시스템 정보 조회를 기본적으로 지원합니다.

- 생성 시 적용된 Plugin에 따라 추가적인 악성 행위를 수행할 수 있습니다.

- VoidLink는 TRAE라는 AI 주도 IDE를 통해 스펙 주도 개발 방식을 적용하여 짧은 시간 내에 복잡한 구조의 악성코드를 개발합니다.

- 구현이 어려운 모듈 형태로 악성 기능을 손쉽게 추가할 수 있으며, 에러 발생 시 복구 기능을 통해 안정성이 높게 제작되었습니다.

- 악성코드 개발자는 개발 계획 및 스펙 문서화를 주도적으로 수행하고, AI가 대부분의 코드를 작성하는 구조로 개발이 진행됩니다.

- 계획 문서에 따르면 20~30주의 개발 기간이 예정되었으나, 약 1주일 만에 동작 가능한 악성코드가 제작된 것으로 추정됩니다.

- 현재 개발이 진행 중인 악성코드로서 구조 및 기능에 많은 변화가 발생할 수 있으므로 주기적인 모니터링이 필요합니다.

- 악성코드 내 디버깅 관련 문자열 및 식별 가능한 문자열이 다수 존재하지만, 향후 개발 과정에서 제거되거나 은닉 기법이 추가될 가능성이 높습니다.

- 시그니처 및 데이터 패턴 기반 탐지뿐만 아니라 행위 기반 탐지 체계의 병행 적용이 필요합니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.