VoidLink: AI‑agent stod bag cloud‑rettet Linux‑malware med 37 moduler
VoidLink, den nyligt opdagede Linux‑malware, der kendt for sin aggressive scanning af cloud‑miljøer, viser sig ikke at være resultatet af et større, velkoordineret udviklingsteam, men i stedet skabt næsten udelukkende af en AI‑agent — under instruktion af en enkelt udvikler.
Det skriver The Register med henvisning til den nye Linux-malware, som vi skrev om i sidste uge baseret på en artikel fra Arstechnica. Heri hed det, at VoidLink er resultatet af "betydelig planlægning", som typisk forbundet med professionelle trusselsaktører. Men det er altså en AI-agent, der har hjulpet til.
På overfladen lignede VoidLink ifølge Check Point Resarch et ambitiøst, endnu ikke færdiggjort framework: fyldt med rootkits, stealth‑moduler, cloud‑detektion, credential‑tyveri og i alt 37 plugins, der tilsammen giver angriberen omfattende kontrol i Linux‑baserede cloud‑miljøer. Flere sikkerhedsresearcher bemærkede tidligt, at kompleksiteten oversteg, hvad man normalt ser i nye, ukendte trusselsaktører.
Men som The Register tørt konstaterer: Følg dokumentationen.
AI som “udviklerteam” — og en tidslinje, der afslører alt
Check Point Research fandt i sidste uge interne filer, der antydede et 30‑ugers udviklingsforløb fordelt på tre “teams”: et kerneteam (Zig), et arsenalteam (C) og et backendteam (Go). Der var sprints, opgavestyring og detaljerede kravspecifikationer. Det lignede med andre ord en professionel udviklingsorganisation.
Men tidsstemplerne fortalte en anden historie. I virkeligheden tog hele processen seks dage, fortæller The Register.
Dette til og med de 88.000 linjer kode, som udgjorde den første fuldt funktionelle version, var klar, uploadet til VirusTotal og i gang med at blive analyseret allerede den 4. december.
Check Point Resarch konkluderer, at den omfattende dokumentation — inklusive sprints, kodestandarder og designbeskrivelser — var genereret af en AI‑model, og at disse dokumenter derefter blev brugt som styringsværktøj for den samme model, der skrev selve koden.
Kort sagt: modellen skrev planen, modellen fulgte planen, og udvikleren styrede processen.
Trae Solo: Den stille partner i malware‑udviklingen
Udvikleren brugte Trae Solo, et AI‑drevet udviklingsværktøj bygget ind i IDE’en Trae. Her blev en kinesisk sprogmodel instrueret gennem et dokument, der blandt andet:
- bad modellen om ikke at give tekniske detaljer om malware (en mulig guardrail‑omgåelse)
- refererede til en minimal eksisterende kodebase
- beskrev, hvordan AI’en skulle udlede arkitektur, teams og udviklingsplan
- kortlagde repository‑struktur og kodekvalitetskrav
Den minimale kodebase blev hurtigt omskrevet “end‑to‑end”, og resten af frameworket blev bygget op sprint for sprint.
Resultatet var et sammenhængende, modulært malware‑økosystem, der fremstod, som var det udviklet af en erfaren APT‑gruppe. Ikke af en soloaktør med en meget hjælpsom maskinassistent.
Cloud‑fokus fra start til slut
VoidLink er målrettet Linux‑cloudmiljøer og kan:
- automatisk identificere AWS, Azure, GCP, Alibaba Cloud og Tencent Cloud
- indlæse rootkits og stealth‑mekanismer efter behov
- installere tilpassede implants
- udføre credential‑tyveri
- udvide funktionalitet via et arsenal af 37 moduler
Malwaren forsvinder desuden ofte efter endt eksekvering.
VoidLink er dog ikke et fuldautomatisk AI‑angreb. Der er stadig en menneskelig aktør til stede, som kan:
- orkestrere sprintforløb
- raffinere specifikationer
- teste moduler
- levere strategisk styring
Men hvis dette niveau af kompleksitet kan produceres på seks dage af én udvikler og en AI‑agent, rejser det et større spørgsmål:
Hvad sker der, når aktører med ressourcer rigtige teams, penge og tid begynder at arbejde på samme måde, slutter The Register.