Nyt Linux-malwareframework opdaget

Eskil Sørensen

01.14.2026 12:19

Over 30 moduler giver angribere en skræddersyet værktøjskasse til stealth og kontrol

Sikkerhedsresearchere fra Checkpoint har opdaget det, der kaldes et hidtil uset malwareframework, der retter sig mod Linux-systemer. Frameworket, kaldet VoidLink, skal have en usædvanlig bred vifte af funktioner og er designet til at opretholde langvarig og skjult adgang til kompromitterede systemer – især dem, der kører i offentlige cloudmiljøer og containeriserede platforme.

Det skriver Arstechnica.

VoidLink adskiller sig fra typisk Linux-malware ved at tilbyde mere end 30 moduler, som kan tilføjes eller fjernes dynamisk for at tilpasse angrebets mål. Disse moduler understøtter blandt andet:

Rekognoscering af system- og netværksmiljø.
Privilegiefordobling og lateral bevægelse.
Rootkit-funktioner for at blende ind med normal systemaktivitet.
Credential harvesting af SSH-nøgler, adgangskoder, API-tokens og cookies.
Anti-analyse gennem anti-debugging og integritetskontroller.

Cloud-first angrebsteknikker

VoidLink er udviklet med et klart fokus på cloudinfrastruktur. Det kan identificere, om et kompromitteret system kører på AWS, GCP, Azure, Alibaba eller Tencent – og indikationer peger på, at understøttelse af Huawei, DigitalOcean og Vultr er på vej. Malwaret bruger cloud-udbydernes API’er til at hente metadata og tilpasse angrebsstrategien.

Derudover kan VoidLink:

Kortlægge hypervisorer og container-miljøer som Docker og Kubernetes.
Implementere kommandokontrol via legitime netværksforbindelser for at undgå mistanke.
Udvikle sig fra en simpel implant til et fuldt post-exploitation framework via et plugin-system.

Professionelt design – men endnu ikke aktivt in the wild

Arstechnica skriver, at Checkpoint vurderer, at VoidLink er resultatet af betydelig planlægning og investering, typisk forbundet med professionelle trusselsaktører frem for opportunistiske hackere. Interface og kildekodekommentarer indikerer en kinesisk-affilieret udviklingsmiljø, og frameworket er stadig under udvikling. Der er ingen tegn på, at VoidLink er aktivt anvendt i angreb, men det blev fundet i malwareklustre på VirusTotal, hedder det.

Selvom der ikke er behov for akut handling, bør forsvarere være opmærksomme på IoC'er , som Checkpoint har offentliggjort. Under alle omstændigheder understreger VoidLink ifølge Arstechnica en voksende trend: Angreb mod Linux og cloudmiljøer bliver mere sofistikerede, og traditionelle forsvarsmekanismer kan være utilstrækkelige.

Læs mere

https://arstechnica.com/security/2026/01/never-before-seen-linux-malware-is-far-more-advanced-than-typical

Information