VoidLink là một **mối đe dọa mạng** mới nổi, được xác định là một framework xâm nhập với thiết kế mô-đun tiên tiến, đặc biệt nhắm mục tiêu vào các hệ thống Linux. Khung làm việc này hoạt động như một hệ thống quản lý implant, cho phép các tác nhân triển khai một implant cốt lõi và bổ sung các khả năng khi cần thiết, rút ngắn đáng kể thời gian từ khi truy cập đến khi thực hiện hành động.

Hoạt động gần đây của VoidLink được liên kết với một tác nhân đe dọa mà Cisco gọi là UAT-9921. Các hoạt động của tác nhân này có thể đã bắt đầu từ năm 2019, mặc dù bản thân VoidLink có thể xuất hiện muộn hơn.

Kỹ thuật Xâm nhập Ban đầu và Mục tiêu

Trong các trường hợp được báo cáo, tác nhân UAT-9921 xâm nhập vào các máy chủ bằng cách sử dụng thông tin đăng nhập đã thu thập trước hoặc khai thác các lỗ hổng deserialization của Java để thực thi mã từ xa. Các lỗ hổng này bao gồm các vấn đề liên quan đến dự án Apache Dubbo. Cisco Talos cũng ghi nhận dấu hiệu của các tài liệu độc hại, nhưng không có mẫu nào được thu thập.

Sau khi điều tra các chiến dịch này, các nhà nghiên cứu của Cisco Talos đã nhận thấy rằng các máy chủ bị xâm nhập cũng được sử dụng để thực hiện quét mạng nội bộ và mạng bên ngoài nạn nhân. Điều này cho thấy nỗ lực nhanh chóng tìm kiếm các hệ thống bổ sung để mở rộng phạm vi xâm nhập.

Các nạn nhân của mối đe dọa mạng này bao gồm các tổ chức công nghệ và một số tổ chức dịch vụ tài chính. Tuy nhiên, việc quét rộng rãi các dải Class C đầy đủ cho thấy một lựa chọn mục tiêu mang tính cơ hội, thay vì lựa chọn thủ công cẩn thận.

Hành vi Sau Xâm nhập và Công cụ

Cisco Talos cũng đã quan sát một mô hình sau xâm nhập nhất quán. Một máy chủ SOCKS được thiết lập trên các máy chủ bị xâm nhập và được sử dụng cùng với công cụ FSCAN để thực hiện trinh sát nội bộ. Việc này giúp tác nhân có cái nhìn sâu hơn về kiến trúc mạng và các điểm yếu tiềm tàng.

Khung thời gian của Talos ghi nhận nhiều nạn nhân liên quan đến VoidLink từ tháng 9 năm trước đến tháng 1 năm 2026. Điều này cho thấy mối đe dọa mạng này có thể tiếp tục diễn ra trong tương lai.

Tính năng Nâng cao của Framework VoidLink

Tính năng đáng lo ngại nhất của VoidLink là phương pháp “compile-on-demand” (biên dịch theo yêu cầu) cho các plugin của nó. Phương pháp này cho phép tạo ra các mô-đun tùy chỉnh cho các bản phân phối Linux khác nhau theo yêu cầu, tăng cường khả năng thích ứng và khó bị phát hiện.

Talos mô tả framework này như một bằng chứng khái niệm gần như sẵn sàng để sản xuất, tích hợp các nhật ký kiểm toán và kiểm soát truy cập dựa trên vai trò. Các vai trò này bao gồm “SuperAdmin”, “Operator” và “Viewer”, những tính năng này hỗ trợ giám sát trong khi vẫn cho phép các hoạt động nhanh chóng và hiệu quả của mối đe dọa mạng.

Kiến trúc và Khả năng Kỹ thuật

Implant chính của VoidLink được viết bằng ngôn ngữ Zig, các plugin được phát triển bằng C, và phần backend được xây dựng bằng Go. Khía cạnh Linux của framework có thể bao gồm các tùy chọn nâng cao như hành vi eBPF hoặc Loadable Kernel Module (LKM) rootkit. Những kỹ thuật này cho phép duy trì quyền kiểm soát và che giấu sự hiện diện trên hệ thống.

VoidLink còn có khả năng leo thang đặc quyền trong container và thoát khỏi sandbox. Ngoài ra, Talos cũng báo cáo về các kiểm tra nhận biết môi trường đám mây cho Kubernetes hoặc Docker. Điều này cho thấy mối đe dọa mạng này được thiết kế để hoạt động hiệu quả trong các môi trường điện toán đám mây hiện đại.

Các biện pháp tàng hình của VoidLink bao gồm phát hiện các công cụ bảo mật endpoint và điều chỉnh chiến lược né tránh. Framework này cũng sử dụng các phương pháp làm xáo trộn (obfuscation) và chống phân tích (anti-analysis) để gây khó khăn cho các nhà phân tích bảo mật. Hơn nữa, nó hỗ trợ định tuyến mesh peer-to-peer nội bộ, tăng cường khả năng giao tiếp và bền vững trong mạng bị xâm nhập.

Talos đã tìm thấy các dấu hiệu cho thấy implant chính cũng đã được biên dịch cho Windows và có thể tải các plugin thông qua DLL sideloading. Mặc dù không có mẫu nào được thu hồi để xác nhận hoàn toàn, điều này cho thấy tiềm năng mở rộng sang các hệ điều hành khác.

Phát hiện và Biện pháp Phòng ngừa

Để giảm thiểu rủi ro từ mối đe dọa mạng VoidLink, các tổ chức cần thực hiện các biện pháp phòng thủ chủ động. Quan trọng nhất là giảm thiểu các điểm truy cập ban đầu bằng cách xoay vòng các thông tin đăng nhập bị lộ và vá các dịch vụ Java một cách kịp thời. Việc này sẽ loại bỏ các vector tấn công chính đã được ghi nhận.

Sau đó, các nhà bảo vệ cần theo dõi chặt chẽ các dấu hiệu hoạt động bất thường. Điều này bao gồm việc phát hiện các dịch vụ SOCKS mới, các hoạt động quét mạng bất thường, và các beacon outbound mới từ máy chủ. Các dấu hiệu này thường là chỉ báo của một hệ thống bị xâm nhập.

Cisco Talos cũng đã công bố các quy tắc phát hiện cụ thể để hỗ trợ các nhà bảo vệ trong việc **phát hiện xâm nhập** và ứng phó:

• Snort SIDs:
  • 65915–65922
  • 65834–65842
• ClamAV Signature:
  • Unix.Trojan.VoidLink-10059283

Việc triển khai và cập nhật các quy tắc phát hiện này là rất quan trọng để có thể xác định và ứng phó kịp thời với các cuộc tấn công mạng sử dụng framework VoidLink. Giám sát liên tục và chủ động là chìa khóa để bảo vệ hệ thống trước **mối đe dọa mạng** phức tạp này.