Waspada! Malware Cloud-Native VoidLink Serang Linux dan Hapus Diri Setelah Eksekusi

bacatutorial /

Waspada! Malware Cloud-Native VoidLink Serang Linux dan Hapus Diri Setelah EksekusiAncaman siber terus berkembang seiring makin masifnya penggunaan cloud computing. Terbaru, peneliti keamanan menemukan sebuah framework malware cloud-native bernama VoidLink yang secara khusus menargetkan sistem Linux dengan teknik penghindaran canggih dan kemampuan menghapus dirinya sendiri setelah eksekusi.

Baca Juga : Linux Sebagai Sistem Operasi untuk Kebutuhan Harian Anda

Kemunculan VoidLink menjadi sinyal kuat bahwa penyerang kini tidak lagi hanya fokus ke endpoint tradisional, tetapi juga mulai serius membidik infrastruktur cloud modern yang banyak digunakan perusahaan dan startup teknologi.

Malware Baru dengan Pendekatan Berbeda

VoidLink ditulis menggunakan bahasa pemrograman Zig, yang tergolong masih jarang digunakan dalam pengembangan malware. Ini menandai perubahan signifikan dalam cara aktor ancaman merancang serangan, khususnya terhadap lingkungan cloud yang kompleks dan dinamis.

Yang membuat VoidLink menonjol adalah kemampuannya mengenali berbagai platform cloud besar, mulai dari AWS, Google Cloud Platform (GCP), Microsoft Azure, Alibaba Cloud, hingga Tencent Cloud. Setelah mendeteksi lingkungan tempatnya berjalan, malware ini akan menyesuaikan perilakunya agar selaras dengan karakteristik masing-masing platform.

Tak hanya itu, VoidLink juga mampu mendeteksi apakah ia dijalankan di dalam container Kubernetes atau Docker. Jika iya, strategi serangannya akan otomatis disesuaikan, sehingga tetap efektif tanpa memicu alarm keamanan.

Ditemukan Saat Masih Dikembangkan

Peneliti dari Check Point pertama kali mengidentifikasi malware Linux yang sebelumnya tidak dikenal ini pada Desember 2025. Penemuan tersebut berawal dari analisis beberapa sampel malware yang masih menyertakan debug symbol dan artefak pengembangan.

Menariknya, jejak pengembangan mengindikasikan bahwa malware ini berasal dari lingkungan berbahasa Mandarin. Hal ini memperkuat dugaan bahwa VoidLink masih dalam tahap pengembangan aktif, bukan produk final yang sepenuhnya matang.

Meski begitu, kapabilitas yang dimiliki VoidLink sudah tergolong berbahaya dan cukup untuk menimbulkan risiko besar, terutama bagi organisasi yang mengelola sistem cloud berskala besar.

Menargetkan Engineer dan Administrator Cloud

Menargetkan Engineer dan Administrator Cloud

VoidLink secara spesifik menyasar software engineer dan administrator yang bertanggung jawab atas pengelolaan infrastruktur cloud. Dengan kata lain, targetnya bukan pengguna biasa, melainkan individu yang memiliki akses ke sistem kritis.

Jika berhasil, malware ini berpotensi membuka jalan bagi aksi spionase siber atau bahkan serangan supply chain, di mana penyerang bisa menyusup ke proses pengembangan perangkat lunak dari hulu.

Framework VoidLink dilengkapi lebih dari 37 plugin, yang dikelompokkan ke dalam berbagai kategori seperti:

  • Reconnaissance (pengintaian)

  • Credential harvesting

  • Lateral movement

  • Persistence

Plugin-plugin ini disimpan dalam bentuk object file yang dimuat saat runtime dan dieksekusi langsung di memori. Mekanisme ini mirip dengan cara kerja Beacon Object Files (BOF) milik Cobalt Strike, sehingga jejaknya di sistem menjadi sangat minim.

Mencuri Kredensial dan Akses Sensitif

Salah satu kemampuan paling berbahaya dari VoidLink adalah kemampuannya mengumpulkan kredensial dari lingkungan cloud serta sistem version control seperti Git. Informasi ini sangat berharga karena dapat memberikan akses langsung ke:

  • Source code internal

  • Konfigurasi cloud

  • Secret key dan token autentikasi

Dengan akses tersebut, penyerang bisa mengendalikan infrastruktur, menyusupkan kode berbahaya, atau mencuri data sensitif tanpa disadari.

Stealth Adaptif dan Mekanisme Hapus Diri

Stealth Adaptif dan Mekanisme Hapus Diri

VoidLink menjadikan adaptive stealth sebagai mekanisme pertahanan utamanya. Saat dijalankan, malware ini akan memindai sistem untuk mendeteksi:

  • Produk keamanan yang terpasang

  • Teknologi kernel hardening

  • Sistem EDR (Endpoint Detection and Response) khusus Linux

Dari hasil pemindaian tersebut, VoidLink menghitung skor risiko lingkungan dan memilih strategi penghindaran yang paling aman. Jika dijalankan di lingkungan dengan pengawasan ketat, malware akan memperlambat operasinya dan mengeksekusi perintah secara lebih hati-hati agar tidak terdeteksi.

Rootkit Disesuaikan Versi Kernel

Rootkit Disesuaikan Versi Kernel

VoidLink juga sangat adaptif dalam memilih jenis rootkit berdasarkan versi kernel Linux:

  • Kernel di bawah versi 4.0: menggunakan teknik LD_PRELOAD

  • Kernel versi 4.0 ke atas: memasang loadable kernel module

  • Kernel versi 5.5 ke atas dengan eBPF: menggunakan rootkit berbasis eBPF

Rootkit ini mampu menyembunyikan proses, file, socket jaringan, bahkan modul rootkit itu sendiri dari administrator dan tools keamanan.

Baca Juga : Awas! Ransomware Kraken Kini Menyerang Windows, Linux, dan VMware ESXi Sekaligus

Anti-Forensik Tingkat Lanjut

Untuk menghindari analisis memori, VoidLink menggunakan kode yang memodifikasi dirinya sendiri. Bagian kode sensitif akan didekripsi saat dibutuhkan, lalu dienkripsi kembali ketika tidak digunakan. Teknik ini membuat pemindaian berbasis signature menjadi jauh lebih sulit.

Selain itu, framework ini terus melakukan runtime integrity check untuk mendeteksi adanya hook, patch, atau upaya debugging dari tools keamanan.

Jika VoidLink mendeteksi adanya gangguan atau percobaan analisis, malware ini akan langsung mengaktifkan mekanisme self-deletion, menghapus seluruh jejak dari sistem dan membuat proses forensik hampir mustahil dilakukan.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *