UAT-9921 Deploys VoidLink Malware to Target Technology and Financial Sectors

VoidLink : Un nouveau malware sophistiqué cible les secteurs technologiques et financiers

Un groupe de menace jusqu’alors inconnu, désigné sous le nom d’UAT-9921, utilise activement un nouveau cadre logiciel malveillant modulaire nommé VoidLink. Les attaques, visant principalement les secteurs de la technologie et des services financiers, sont actives depuis 2019, bien que l’utilisation de VoidLink soit plus récente. Ce malware, écrit en Zig, est conçu pour offrir un accès furtif et persistant aux environnements cloud basés sur Linux.

Le développement de VoidLink suggère une assistance par des modèles linguistiques (LLM) et une approche de développement guidée par les spécifications. Les chercheurs estiment que les opérateurs de VoidLink possèdent des connaissances approfondies du chinois et une compréhension intime du fonctionnement interne du malware, ce qui leur permet d’interagir avec les implants sans passer par les serveurs de commande et de contrôle (C2). VoidLink est déployé comme un outil post-compromission, utilisant des proxys SOCKS pour la reconnaissance interne et le mouvement latéral au sein des réseaux. Le malware intègre des mécanismes avancés d’évasion des solutions de détection et de réponse des points de terminaison (EDR) et peut adapter ses stratégies en temps réel.

Une caractéristique notable de VoidLink est sa structure avec des niveaux d’autorisation distincts (SuperAdmin, Operator, Viewer), ce qui pourrait indiquer une origine liée à des exercices de “red team”. Il existe également des indications d’un implant principal pour Windows capable de charger des plugins via une technique de “DLL side-loading”. VoidLink est considéré comme un outil “presque prêt pour la production”, doté d’une grande flexibilité et de capacités évolutives.

Points Clés :

• Acteur de menace : UAT-9921.
• Malware : VoidLink, un cadre logiciel malveillant modulaire.
• Cibles : Secteurs technologiques et financiers.
• Objectif : Accès persistant et furtif aux environnements cloud Linux.
• Technologie : Écrit en Zig, C et GoLang, potentiellement assisté par des LLM.
• Fonctionnalités : Reconnaissance interne, mouvement latéral, évasion d’EDR, compilation à la volée de plugins, auditabilité et contrôle d’accès basé sur les rôles (RBAC).
• Déploiement : Post-compromission, utilisation de proxys SOCKS.
• Implication potentielle : Exercices de “red team”.
• Persistance : Des victimes de VoidLink sont identifiées depuis septembre 2025.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est explicitement mentionnée dans l’article. L’article met l’accent sur les techniques d’évasion et la manière dont VoidLink peut exploiter des vulnérabilités connues sur des serveurs web internes via ses plugins.

Recommandations :

Bien que l’article ne détaille pas de recommandations spécifiques pour les organisations, il ressort implicitement la nécessité de :

• Surveiller les réseaux pour détecter les activités suspectes, en particulier dans les environnements cloud Linux.
• Renforcer la sécurité des points de terminaison pour contrer les techniques d’évasion d’EDR.
• Mettre à jour et patcher régulièrement les systèmes pour réduire les surfaces d’attaque exploitables par des vulnérabilités connues.
• Mener des exercices réguliers de simulation d’attaques (red teaming) pour identifier les faiblesses potentielles.
• Mettre en place des contrôles d’accès stricts et surveiller les privilèges des utilisateurs.

Source