Um malware sofisticado para Linux chamado VoidLink, descoberto recentemente, foi desenvolvido por uma única pessoa com o auxílio de um modelo de inteligência artificial (IA).
Essa conclusão resulta de uma pesquisa da Check Point Research, que identificou erros operacionais do autor do malware, revelando pistas sobre sua origem.
A descoberta posiciona o VoidLink como um dos primeiros malwares avançados criados em grande parte com o uso de IA.
Segundo a empresa de cibersegurança, o malware foi produzido predominantemente por meio de desenvolvimento orientado por IA, alcançando uma primeira versão funcional em menos de uma semana.
Até o início de dezembro de 2025, o código-fonte já ultrapassava 88.000 linhas.
Divulgado publicamente na semana passada, o VoidLink é um framework robusto programado em Zig, destinado a manter acesso furtivo e prolongado em ambientes Linux baseados na nuvem.
Acredita-se que sua origem esteja ligada a um ambiente de desenvolvimento na China, embora sua finalidade exata ainda não esteja clara.
Até o momento, não há registro de infecções reais atribuídas ao malware.
Uma análise posterior da Sysdig destacou indícios de que a ferramenta foi desenvolvida com o apoio de um large language model (LLM), sob a direção de um especialista com amplo conhecimento em desenvolvimento de kernel e experiência em red team.
Entre os sinais apontados estão:
- Saídas de debug excessivamente sistemáticas e uniformes em todos os módulos;
- Uso de dados genéricos ("John Doe"), típicos de exemplos em treinamentos de LLM, inseridos em templates de resposta falsos;
- Versionamento consistente de API, sempre na versão 3 (como BeaconAPI_v3, docker_escape_v3, timestomp_v3);
- Respostas JSON estilizadas como templates, cobrindo todos os campos possíveis.
“A hipótese mais provável é que um desenvolvedor chinês fluente em inglês tenha usado IA para acelerar o desenvolvimento — gerando código boilerplate, logs de debug e templates JSON — enquanto fornecia a expertise em segurança e a arquitetura do sistema”, afirmou o fornecedor de segurança em nuvem.
O relatório da Check Point reforça essa hipótese, indicando que o próprio processo de desenvolvimento foi conduzido por um modelo de IA, que gerou, compilou e testou o framework, transformando o conceito inicial em uma ferramenta funcional em pouco tempo.
Visão geral do projeto VoidLink
O desenvolvimento do VoidLink seguiu uma metodologia chamada Spec Driven Development (SDD), em que o desenvolvedor começa definindo o que será feito, cria um plano, divide-o em tarefas e permite que um agente — neste caso, a IA — execute essas tarefas.
Acredita-se que o projeto tenha iniciado no final de novembro de 2025, utilizando um agente de codificação chamado TRAE SOLO.
Essa avaliação baseia-se na presença de arquivos auxiliares gerados pelo TRAE, que foram copiados junto ao código-fonte para o servidor do atacante e posteriormente vazados em um diretório aberto.
Além disso, a Check Point encontrou materiais internos em chinês relacionados ao planejamento de sprints, divisão de funcionalidades e diretrizes de codificação, todos com características típicas de conteúdo gerado por LLM — organizados, formatados de forma consistente e muito detalhados.
Um desses documentos, com o plano de desenvolvimento, é datado de 27 de novembro de 2025.
Esses arquivos parecem ter servido como roteiro para orientar a IA na construção, teste e aprimoramento do malware.
Ao reproduzir o fluxo de desenvolvimento no ambiente TRAE IDE, a Check Point constatou que o código gerado pelo modelo era semelhante ao código-fonte do VoidLink.
Ao comparar as instruções de padronização do código com o código recuperado, a pesquisa revelou uma correspondência impressionante.
Convenções, estrutura e padrões de implementação coincidem a ponto de praticamente eliminar dúvidas: o código foi produzido seguindo aquelas exatas instruções.
Impactos na cibersegurança
Esse caso demonstra que, embora IA e LLMs não criem novas capacidades para criminosos, eles reduzem significativamente a barreira de entrada para atores maliciosos.
Isso permite que uma única pessoa planeje, crie e refine sistemas complexos com rapidez, viabilizando ataques sofisticados que antes demandavam equipes especializadas e muitos recursos — normalmente restritos a governos e grandes grupos cibercriminosos.
“VoidLink marca uma mudança real na forma como malwares avançados podem ser criados.
O que impressiona não é apenas a sofisticação do framework, mas a velocidade com que foi desenvolvido”, comentou Eli Smadja, gerente do grupo Check Point Research.
“A IA permitiu que, aparentemente, um único ator planeje, desenvolva e itere uma plataforma complexa em poucos dias — algo que antes exigia equipes coordenadas e muitos recursos.
Isso é um claro sinal de que a IA está mudando a economia e a escala das ameaças cibernéticas.”
Em um whitepaper recente, a empresa Group-IB descreveu a IA como o motor da “quinta onda” da evolução do cibercrime, fornecendo ferramentas prontas para ataques sofisticados.
“Os adversários estão industrializando a IA, transformando habilidades especializadas como persuasão, personificação e desenvolvimento de malware em serviços sob demanda, acessíveis a qualquer pessoa com cartão de crédito”, apontou a empresa.
Com sede em Cingapura, a Group-IB destacou que publicações em fóruns da dark web com termos relacionados à IA aumentaram 371% desde 2019.
Nesses espaços, atacantes anunciam modelos de LLMs obscuros, como o Nytheon AI, que não possuem restrições éticas, frameworks para jailbreak e kits de identidade sintética, oferecendo atores de vídeo gerados por IA, vozes clonadas e até bases biométricas por preços a partir de US$ 5.
“A IA industrializou o cibercrime.
O que antes exigia operadores qualificados e tempo, agora pode ser comprado, automatizado e escalado globalmente”, declarou Craig Jones, ex-diretor de cibercrime da INTERPOL e consultor estratégico.
“Embora a IA não tenha criado novos motivos para cibercriminosos — dinheiro, influência e acesso continuam sendo o motor do ecossistema — ela aumentou drasticamente a velocidade, escala e sofisticação com que esses objetivos são perseguidos.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...