文章总结： VoidLink是2026年初发现的云原生Linux恶意软件框架，采用Zig语言编写，具备云环境特化、容器感知、自适应隐身和模块化插件系统，内置37个插件。该框架关联威胁组织UAT-9921，主要针对Linux服务器和Kubernetes环境。防护建议包括减少攻击面、监控异常行为、使用Snort规则和ClamAV检测以及加强容器安全配置。 综合评分： 86 文章分类： 恶意软件,威胁情报,云安全,漏洞预警,安全建设

VoidLink：藏在云里的“幽灵”，专挖Linux服务器

原创

xxxxxx xxxxxx

渗透测试知识学习

2026年3月12日 19:39 四川

VoidLink：藏在云里的“幽灵”，专挖Linux服务器

你听说过Cobalt Strike，也知道了Sliver。

但有一个工具，专门盯着Linux服务器，能在Kubernetes容器里隐形，还能根据环境自动调整攻击方式——它叫VoidLink。

2026年初，Check Point的研究人员发现了一个从未见过的Linux恶意软件框架。它来自一个中文关联的开发环境，但目标遍布全球。最可怕的是：它还没大规模传播，就已经接近“完工”状态。

一、VoidLink是什么？

VoidLink是一个云原生的Linux恶意软件框架，由自定义加载器、植入物、Rootkit和模块化插件组成，专为长期隐蔽访问Linux系统设计。

它不是普通的木马，而是一个完整的C2框架。它的代码用Zig语言写成（一种新兴的系统编程语言），后台用Go，插件用C，整个技术栈相当专业。

为什么说它“牛”？

· 云环境特化：能识别AWS、GCP、Azure、阿里云、腾讯云，采集元数据

· 容器感知：能检测是否运行在Docker或Kubernetes环境

· 自适应隐身：根据检测到的安全产品调整行为

· 插件系统：内置37个插件，可动态加载

二、为什么说它是“藏在云里的幽灵”？

第一：云优先设计

传统恶意软件进了服务器就瞎跑。VoidLink不一样——它先问自己：“我在哪？”

· 在AWS？去拿实例元数据

· 在K8s？看看能不能逃逸到宿主机

· 在物理机？慢慢潜伏

它还专门为容器环境设计了提权、逃逸、横向移动的模块。

第二：自适应隐身

VoidLink会扫描系统里装了哪些安全产品——Linux EDR、内核防护、监控工具。然后给自己算个“风险分”：

· 风险高：慢点动，少发流量

· 风险低：放开干

这种“看人下菜碟”的行为，让传统检测规则很难抓到它。

第三：Rootkit全家桶

根据内核版本自动选择：

· 内核<4.0：用LD_PRELOAD

· 内核≥5.5且有eBPF：用eBPF（不加载内核模块也能hook）

· 内核≥4.0：用LKM（可加载内核模块）

能隐藏进程、文件、网络连接，还能隐藏自己。

第四：通信花活多

支持HTTP/1.1、HTTP/2、WebSocket、DNS、ICMP，还能伪装成正常流量。甚至支持P2P网格通信——被控机器之间互相传数据，不需要都连外网。

三、VoidLink能干什么？

信息收集

· 云环境元数据

· 用户、组、进程、服务

· 文件系统、网络拓扑

· 已安装的安全产品

提权与横向移动

· 容器逃逸

· 凭证窃取

· SSH横向移动

持久化

· 多种rootkit

· 运行时自删除（检测到篡改就消失）

· 清理日志、命令历史、文件痕迹（还覆盖随机数据防恢复）

插件系统（37个内置）

· 侦察

· 云环境

· 提权

· 横向移动

· 反取证

· 进程注入

四、怎么用？从黑客视角看

VoidLink的架构分三层：

第一层：Loader（加载器）

负责把核心植入物加载进内存。用了两层加载，最终植入物内置核心模块，外部代码可以运行时以插件形式下载。

第二层：Core Implant（核心植入物）

用Zig写的核心，管理全局状态、通信、任务执行。代码质量很高，有完整的错误处理、状态管理。

第三层：Plugins（插件）

运行时动态加载的ELF对象文件，类似Cobalt Strike的Beacon Object Files。开发者在C2面板上点一下，插件就下发到目标。

五、控制面板长啥样？

VoidLink自带一个Web仪表盘，中文界面，布局像Cobalt Strike：

· Dashboard：Agent管理器、内置终端、植入物生成器

· Attack：侦察、凭证、持久化、横向移动、进程注入、隐写、擦除证据

· Infrastructure：隧道、文件管理、插件管理、任务管理

最牛的是Builder面板——可以在线生成定制化植入物，选能力集、调隐身策略、改心跳间隔。生成完直接下发。

六、谁在用VoidLink？

根据Check Point的报告，VoidLink由“中文关联开发者”构建和维护，但确切归属不明。

Cisco Talos将其关联到威胁组织UAT-9921，该组织活动可能从2019年就开始了。受害者包括科技公司和金融服务机构。

它被发现时还在开发中——很多样本带调试符号，说明是在“施工中”泄露出来的。这意味着正式版可能更恐怖。

七、怎么防VoidLink？

1. 减少攻击面

VoidLink常用入口是暴露的凭证和Java序列化漏洞（如Apache Dubbo问题）。及时打补丁，别把密码挂在公网上。

2. 监控异常行为

· 服务器突然开SOCKS代理？

· 内网机器互相扫？

· 非工作时间发奇怪流量？

3. 检测工具

Cisco Talos发布了Snort规则（SIDs 65915–65922）和ClamAV特征（Unix.Trojan.VoidLink-10059283）。

4. 容器安全

VoidLink专盯容器环境。K8s集群要配好RBAC，别给太多权限。

八、最后一句

VoidLink是2026年最值得警惕的Linux恶意软件框架之一。

它把云原生、自适应隐身、模块化插件这些理念融合在一起，专挖Linux服务器这个“被忽视的角落”。

好消息是：它还没大规模传播。

坏消息是：它已经完工了。

如果你管Linux服务器，今天就去查查——有没有不该开的端口？有没有奇怪的进程？有没有容器逃逸的迹象？

别等VoidLink帮你扫。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透测试知识学习 xxxxxx xxxxxx《VoidLink：藏在云里的“幽灵”，专挖Linux服务器》