برز إطار عمل تجسس جديد يُعرف باسم VoidLink، وهو مصمم لإنشاء أدوات عند الطلب خاصة بأنظمة لينكس، مما يلفت انتباه خبراء الأمن السيبراني. يتيح هذا الإطار للمهاجمين نشر برامج تجسس أساسية وإضافة قدرات لاحقة حسب الحاجة، مما يقلل من الوقت المستغرق للانتقال من مرحلة الوصول إلى مرحلة تنفيذ الهجمات.
تشير التقارير الأخيرة إلى وجود ارتباط بين هذا الإطار ومجموعة تهديدات أمنية أطلقت عليها شركة سيسكو اسم UAT-9921. يبدو أن عمليات هذه المجموعة قد بدأت في عام 2019، على الرغم من أن إطار VoidLink نفسه ظهر لاحقًا. في الحالات التي تم رصدها، اخترق المهاجمون الخوادم باستخدام بيانات اعتماد مسربة مسبقًا أو عن طريق استغلال ثغرات في تصغير Java لتنفيذ تعليمات برمجية، بما في ذلك تلك المتعلقة بمشروع Apache Dubbo.
قدرات VoidLink المتقدمة في إنشاء الأدوات
أكثر ما يثير القلق بشأن VoidLink هو منهجيته في تجميع الإضافات عند الطلب، حيث يمكنه إنتاج وحدات مخصصة لتوزيعات لينكس مختلفة حسب الحاجة. وصف باحثو سيسكو تالوس الإطار بأنه شبه جاهز للإنتاج، ويتضمن سجلات تدقيق وتحكمًا في الوصول يعتمد على الأدوار، مع مستويات مثل “SuperAdmin” و”Operator” و”Viewer”. هذه الميزات، على الرغم من أنها تدعم الرقابة، إلا أنها تظل قادرة على تسهيل العمليات السريعة.
تمت كتابة جزء التجسس الرئيسي بلغة Zig، أما الإضافات فمكتوبة بلغة C، والنظام الخلفي بلغة Go. يمكن أن يشمل جانب لينكس خيارات متقدمة مثل سلوك الجذر (rootkit) باستخدام eBPF أو وحدات نواة قابلة للتحميل، بالإضافة إلى تصعيد الامتيازات في الحاويات (containers) والهروب من البيئات المعزولة (sandbox escape).
ميزات إضافية واستراتيجيات الإخفاء
كشف الباحثون أيضًا عن وجود فحوصات مدركة للسحابة (cloud-aware checks) تتعلق بـ Kubernetes أو Docker. تضمنت الاستراتيجيات الأمنية أيضًا كشف أدوات الأمان على نقاط النهاية وتعديل أساليب التهرب، إلى جانب تقنيات التشويش ومكافحة التحليل.
يدعم الإطار أيضًا التوجيه الشبكي من نظير إلى نظير (mesh peer-to-peer routing) داخليًا. وجدت سيسكو تالوس مؤشرات على أن جزء التجسس الرئيسي قد تم تجميعه لنظام ويندوز، وقد يقوم بتحميل الإضافات عبر آلية “DLL sideloading”، على الرغم من عدم استعادة أي عينة لتأكيد ذلك.
وتشمل الضحايا منظمات تقنية وبعض الجهات في قطاع الخدمات المالية، لكن المسح الواسع لنطاقات كاملة من الفئة C يشير إلى اختيار انتهازي وليس اختيارًا دقيقًا. تضع سيسكو تالوس سجلات متعددة لضحايا VoidLink بين سبتمبر 2025 ويناير 2026.
توصيات المواجهة
يقترح الخبراء على المدافعين تقليل نقاط الوصول الأولية عن طريق تدوير بيانات الاعتماد المكشوفة وتصحيح ثغرات خدمات Java. وينصحون أيضًا بمراقبة الخدمات الجديدة لبروتوكول SOCKS، وأي عمليات مسح وتفتيش غير عادية، وظهور اتصالات صادرة جديدة من الخوادم.
نشرت سيسكو تالوس أيضًا معلومات الكشف، بما في ذلك معرفات Snort SIDs 65915–65922 و65834–65842، وتوقيع ClamAV المسمى Unix.Trojan.VoidLink-10059283، لمساعدة المؤسسات على اكتشاف هذه التهديدات.