Malware nativo de nuvem mira infraestrutura Linux

14/01/2026 mindsecblog Notícias 0

Malware nativo de nuvem mira infraestrutura Linux, aponta a Check Point Research

Framework avançado evidencia a mudança estratégica dos cibercriminosos para ambientes de nuvem e Linux, com foco em persistência, capacidade de se manter oculto e controle de longo prazo

 

A Check Point Research (CPR), a divisão de Inteligência de Ameaças da Check Point Software, identificou o VoidLink, um framework de malware nativo de nuvem desenvolvido para se infiltrar de forma silenciosa na infraestrutura em nuvem.

Projetado especificamente para operar em ambientes modernos baseados em Linux, o VoidLink evidencia uma mudança preocupante no cenário de ameaças cibernéticas. Embora grande parte dos ataques ainda tenha como foco sistemas Windows, essa nova campanha aponta para o direcionamento crescente à infraestrutura que sustenta serviços em nuvem e sistemas críticos usados por empresas, governos e serviços essenciais. Trata-se de uma evolução clara rumo a ataques ocultos, persistentes e de longo prazo contra ambientes em nuvem.

 

VoidLink: um framework de malware criado para a nuvem

Em dezembro de 2025, a equipe da Check Point Research identificou um pequeno conjunto de amostras inéditas de malware para Linux, aparentemente originadas de um ambiente de desenvolvimento de língua chinesa. Muitos dos arquivos continham símbolos de depuração e outros artefatos típicos de desenvolvimento, indicando que se tratava de versões ainda em construção, e não de uma ferramenta final amplamente disseminada. A velocidade e a variedade das alterações observadas sugerem um framework em rápida evolução, possivelmente sendo preparado para uso em cenários reais.

Chamado internamente de VoidLink por seus desenvolvedores, o framework é um implante “cloud-first”, escrito na linguagem Zig e criado para operar diretamente em infraestruturas modernas. Ele é capaz de reconhecer os principais ambientes de nuvem e identificar se está sendo executado em plataformas como Kubernetes ou Docker, ajustando seu comportamento conforme o contexto.

O VoidLink também coleta credenciais associadas a ambientes em nuvem e a sistemas de controle de versão de código-fonte, como o Git, o que indica que desenvolvedores de software podem estar entre os alvos, seja para fins de espionagem ou para possíveis ataques futuros à cadeia de suprimentos.

O conjunto de funcionalidades do VoidLink é amplo e sofisticado. O malware inclui capacidades semelhantes às de rootkits, um sistema de plugins em memória que permite expandir suas funções e mecanismos de ocultação adaptativos, que ajustam sua atuação com base nos produtos de segurança detectados no ambiente. Ele prioriza a discrição em ambientes mais monitorados e pode se comunicar por diferentes canais, como HTTP e HTTPS, ICMP e tunelamento via DNS, além de estabelecer comunicação do tipo ponto a ponto entre sistemas comprometidos.

Nas amostras mais recentes, a maioria dos componentes já parece próxima da finalização, incluindo um servidor de comando e controle funcional e um painel de gerenciamento integrado.

Até o momento, não há evidências de infecções ativas no mundo real, e o objetivo final do framework ainda não está claro. No entanto, a forma como foi desenvolvido sugere que ele pode vir a ser oferecido comercialmente, seja como produto ou como uma solução criada sob demanda para um cliente específico.

Principais destaques apontados pelos pesquisadores da CPR:

  • Desenvolvido especificamente para ambientes Linux e em nuvem: o VoidLink foi criado do zero para operar em ambientes de nuvem e contêineres, e não adaptado a partir de malwares tradicionais.
  • Foco na infraestrutura, não em usuários individuais: o objetivo é manter acesso persistente aos sistemas em nuvem, permitindo monitoramento e exploração contínuos ao longo do tempo.
  • Altamente modular e personalizável: com mais de 30 plugins identificados, o framework permite adicionar novas capacidades sem a necessidade de reinstalar o malware principal.
  • Ocultação adaptativa para evitar detecção: o malware avalia o nível de segurança do ambiente e ajusta seu comportamento, priorizando ocultação onde há maior monitoramento.

Riscos para organizações orientadas à nuvem

À medida que empresas dependem cada vez mais de infraestruturas em nuvem baseadas em Linux para executar aplicações e serviços críticos, os atacantes estão mudando o foco dos endpoints tradicionais para os sistemas subjacentes.

O VoidLink explora lacunas de visibilidade e inconsistências na cobertura de segurança em ambientes de nuvem, permitindo comprometimentos de longo prazo que podem passar despercebidos até que ocorram roubo de dados, interrupções operacionais ou invasões mais amplas. Este framework de malware foi projetado para permanecer oculto durante todo o seu ciclo de vida. Ele utiliza técnicas em memória para esconder seus componentes maliciosos e conta com um mecanismo automático de autodestruição, que remove completamente o malware caso seja detectada qualquer tentativa de análise ou interferência.

Tudo isso serve para dificultar as investigações forenses e aumentar o risco de que invasões em nuvem permaneçam invisíveis por longos períodos. A capacidade de adaptar dinamicamente seu comportamento é um dos principais diferenciais em relação a malwares convencionais para Linux.

“O VoidLink demonstra como os ataques cibernéticos estão evoluindo de invasões pontuais para comprometimentos silenciosos na infraestrutura”, afirma Eli Smadja, líder de pesquisa da Check Point Research. “A defesa contra esse tipo de ameaça exige estender uma abordagem de prevenção em primeiro lugar para ambientes de nuvem e Linux, com visibilidade contínua, inteligência de ameaças em tempo real e proteções desenvolvidas especificamente para cargas de trabalho nativas da nuvem.”

A equipe da Check Point Research reforça que, nas mãos de agentes de ameaça qualificados, um framework como o VoidLink pode transformar a própria infraestrutura em nuvem em uma ampla superfície de ataque, elevando significativamente o nível de risco para organizações que podem nem perceber que seus sistemas foram silenciosamente comprometidos.

Para detalhes dos aspectos técnicos da descoberta da CPR, acesse a análise completa do VoidLink.

Veja também:

 

About mindsecblog 3383 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Webinar

REACT Uma nova abordagem para monitoração

16/05/2017 mindsecblog Webinar 0

REACT : Uma nova abordagem para identificar padrões de segurança e remediar comportamentos suspeitos Quando SIEM, LOG e outros velhos métodos de segurança não são suficientes para uma empresa moderna…. é hora de REACT ! […]

Artigos

Brasil é o segundo país que mais sofre ataques cibernéticos na América Latina

01/09/2022 mindsecblog Artigos, Notícias 0

Brasil é o segundo país que mais sofre ataques cibernéticos na América Latina. Fortinet registrou 31,5 bilhões de tentativas de invasão no país no primeiro semestre do ano, quase o dobro reportado no mesmo período […]

Notícias

4TB SQL Server da EY exposto

31/10/2025 mindsecblog Notícias 0

4TB SQL Server da EY exposto . Exposição de dados EY: backup do SQL Server de 4 TB encontrado acessível publicamente no Azure. A Ernst & Young, uma das quatro maiores empresas de contabilidade, inadvertidamente […]

Be the first to comment

Deixe sua opinião!