كشفت أبحاث حديثة عن ظهور تهديد سيبراني جديد يُدعى UAT-9921، والذي يستخدم إطار عمل معياري جديد تحت اسم VoidLink في حملاته الهجومية التي تستهدف قطاعي التكنولوجيا والخدمات المالية. يأتي هذا التطور ليضيف بعداً جديداً للمشهد الأمني الرقمي.
وبحسب تقرير لشركة Cisco Talos، يبدو أن هذا الجهة الفاعلة في التهديدات كانت نشطة منذ عام 2019، إلا أنها لم تستخدم بالضرورة إطار عمل VoidLink طوال فترة نشاطها. وتعمل الجهة المهاجمة على استغلال أجهزة مخترقة لتثبيت نقاط التحكم والتحكم (C2) الخاصة بـ VoidLink، والتي تُستخدم لاحقاً لإطلاق عمليات مسح شبكي داخلي وخارجي.
جهود متزايدة في تطوير أدوات الهجوم السيبراني
كان إطار عمل VoidLink قد تم توثيقه لأول مرة الشهر الماضي، ووصف بأنه برنامج ضار معياري غني بالميزات، مكتوب بلغة Zig، ومصمم لتوفير وصول طويل الأمد وخفي إلى بيئات الحوسبة السحابية التي تعمل بنظام لينكس. ويُعتقد أنه نتاج عمل مطور واحد بمساعدة نماذج لغوية كبيرة (LLMs) لتطوير مكوناته الداخلية.
وفي تحليل آخر نُشر مؤخراً، أشارت شركة Ontinue إلى أن ظهور VoidLink يمثل مصدر قلق جديد، حيث تتيح البرامج الضارة التي تم إنشاؤها بواسطة نماذج لغوية كبيرة، والمزودة بجذور على مستوى النواة وميزات لاستهداف البيئات السحابية، خفض حاجز المهارة المطلوب لإنتاج برامج ضارة يصعب اكتشافها.
ويُعتقد أن الجهة الفاعلة UAT-9921 تمتلك معرفة باللغة الصينية، نظراً للغة المستخدمة في إطار العمل، ويبدو أن هذه الأدوات تمثل إضافة حديثة. كما يُعتقد أن عملية التطوير قُسّمت بين فرق متعددة، على الرغم من أن مدى الفصل بين التطوير والعمليات الفعلية لا يزال غير واضح.
وأوضح الباحثون في Talos أن المشغلين الذين ينشرون VoidLink لديهم إمكانية الوصول إلى الشيفرة المصدرية لبعض وحدات النواة وأدوات للتفاعل مع البرامج الخبيثة دون الحاجة لنقاط التحكم والتحكم (C2)، مما يشير إلى معرفة داخلية ببروتوكولات الاتصال.
آلية عمل VoidLink وأساليبه
يتم نشر VoidLink كأداة للمرحلة اللاحقة للاختراق، مما يسمح للمهاجم بتجنب الكشف. كما لوحظ أن الجهة الفاعلة تقوم بنشر خادم بروكسي SOCKS على الخوادم المخترقة لإطلاق عمليات مسح لتحديد الأهداف الداخلية والتنقل الجانبي باستخدام أدوات مفتوحة المصدر مثل Fscan.
وأفادت الشركة الأمنية أنها على علم بوجود العديد من الضحايا المرتبطين بـ VoidLink يعود تاريخهم إلى سبتمبر 2025، مما يشير إلى أن العمل على البرنامج الضار قد بدأ في وقت أبكر بكثير من الإطار الزمني الذي قدرته Check Point في نوفمبر 2025.
يستخدم VoidLink ثلاث لغات برمجة مختلفة: ZigLang للبرنامج الخبيث، و C للإضافات، و GoLang للواجهة الخلفية. ويدعم تجميع الإضافات عند الطلب، مما يوفر دعماً لتوزيعات لينكس المختلفة التي قد تكون مستهدفة. تسمح الإضافات بجمع المعلومات، والتنقل الجانبي، ومقاومة التحقيقات الجنائية.
ويأتي إطار العمل مزوداً بمجموعة واسعة من آليات التخفي لإعاقة التحليل، ومنع إزالته من الأجهزة المصابة، وحتى اكتشاف حلول الكشف والاستجابة لنقاط النهاية (EDR) ووضع استراتيجية للتملص عند الطيران.
وأشار التقرير إلى أن نقطة التحكم والتحكم (C2) ستوفر للبرنامج الخبيث إضافة لقراءة قاعدة بيانات محددة وجدها المشغل، أو ثغرة لاستغلال نقطة ضعف معروفة، والتي قد تكون موجودة على خادم ويب داخلي. ولا يشترط أن تتوفر لدى C2 جميع هذه الأدوات؛ فقد يكون لديها وكيل يقوم بالبحث وإعداد الأداة للمشغل لاستخدامها.
مع القدرة الحالية لـ VoidLink على التجميع عند الطلب، لا ينبغي أن يكون دمج مثل هذه الميزة معقداً، وكل هذا يحدث بينما يواصل المشغل استكشاف البيئة. سمة أخرى مميزة لـ VoidLink هي قابليتها للمراجعة ووجود آلية للتحكم في الوصول المستند إلى الأدوار (RBAC)، والتي تتكون من ثلاثة مستويات للأدوار: المشرف الأعلى، المشغل، والمشاهد. يشير هذا إلى أن مطوري إطار العمل أخذوا الإشراف في الاعتبار عند تصميمها.
علاوة على ذلك، هناك علامات تشير إلى وجود برنامج خبيث رئيسي تم تجميعه لنظام ويندوز ويمكنه تحميل الإضافات عبر تقنية تسمى تحميل جانبي للـ DLL. واختتم التقرير بأن هذا يمثل فهماً أولياً شبه جاهز للإنتاج، حيث يُنظر إلى VoidLink على أنه سيصبح إطار عمل أقوى بناءً على قدراته ومرونته.