Um novo grupo de ciberameaça, identificado como UAT-9921, está utilizando um framework modular inovador chamado VoidLink em campanhas direcionadas aos setores de tecnologia e serviços financeiros, conforme revelações da equipe da Cisco Talos.
De acordo com os pesquisadores Nick Biasini, Aaron Boyd, Asheer Malhotra e Vitor Ventura, esse ator malicioso atua desde 2019, embora o uso do VoidLink tenha se intensificado recentemente.
Eles explicam que o UAT-9921 compromete máquinas para instalar o comando e controle (C2) do VoidLink, que é empregado para realizar varreduras tanto dentro quanto fora da rede-alvo.
O VoidLink foi documentado pela primeira vez pela Check Point no mês passado, que o descreveu como um malware sofisticado, escrito na linguagem Zig, projetado para garantir acesso furtivo e prolongado em ambientes Linux na nuvem.
Acredita-se que tenha sido desenvolvido por um único programador, que contou com o suporte de um large language model (LLM) para estruturar as funcionalidades internas, utilizando um paradigma chamado spec-driven development.
Em análise mais recente, a Ontinue destacou que o surgimento do VoidLink representa um novo desafio de segurança, pois implantes gerados por LLMs, combinados com rootkits em nível de kernel e recursos focados em ambientes em nuvem, podem facilitar a criação de malwares difíceis de detectar, reduzindo a barreira técnica para atacantes.
Segundo a Talos, o grupo UAT-9921 aparenta ter conhecimento do idioma chinês, evidenciado pela linguagem utilizada no framework, e o toolkit parece ser uma adição recente às suas operações.
Há indícios de que o desenvolvimento foi dividido entre equipes distintas, embora o grau de separação entre construção e operações ainda não seja totalmente claro.
Os pesquisadores também apontam que os operadores que utilizam o VoidLink têm acesso ao código-fonte de módulos de kernel e a ferramentas para interagir diretamente com os implantes, mesmo sem conexão com o C2, o que demonstra profundo conhecimento dos protocolos internos de comunicação.
O VoidLink atua principalmente como uma ferramenta pós-comprometimento, permitindo que o invasor permaneça invisível no ambiente infectado.
Os atores maliciosos também foram observados implantando proxies SOCKS em servidores comprometidos para realizar varreduras internas, mapear a rede e movimentar-se lateralmente com suporte de ferramentas open-source como o Fscan.
A Cisco Talos registra vítimas ligadas ao VoidLink desde setembro de 2025, sinalizando que o desenvolvimento do malware pode ter começado muito antes da primeira análise pública feita pela Check Point, em novembro de 2025.
O framework combina três linguagens de programação: ZigLang para o implante principal, C para os plugins e GoLang para o backend.
Essa combinação permite a compilação sob demanda dos plugins, garantindo compatibilidade com diferentes distribuições Linux-alvo.
Os plugins possibilitam coleta de dados, movimentos laterais e técnicas anti-forense.
Além disso, o VoidLink possui diversos mecanismos stealth para dificultar análises, prevenir remoção nos hosts infectados e até identificar soluções de Endpoint Detection and Response (EDR), adaptando suas estratégias de evasão em tempo real.
Segundo a Talos, o C2 pode fornecer ao implante plugins específicos para acessar bancos de dados internos ou explorar vulnerabilidades conhecidas em servidores web internos.
Esse recurso dispensa a necessidade de o C2 armazenar todas as ferramentas disponíveis; um agente pode realizar a busca e preparar o exploit para o operador, aproveitando a capacidade de compilação sob demanda do VoidLink, enquanto o atacante avança na exploração do ambiente comprometido.
Outro diferencial do VoidLink é a implementação de controle de acesso baseado em papéis (RBAC), com três níveis definidos: SuperAdmin, Operator e Viewer.
Essa estrutura indica que os desenvolvedores consideraram governança e supervisão na criação da ferramenta, levantando a possibilidade de seu uso também em exercícios de Red Team.
Além disso, há indícios da existência de um implante principal para Windows, capaz de carregar plugins via técnica conhecida como DLL side-loading, demonstrando a evolução do framework para múltiplas plataformas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...