Secu
VoidLink : le malware Linux qui se répand à l’ombre du cloud
Par Laurent Delattre, publié le 16 janvier 2026
Un nouveau framework malveillant baptisé VoidLink attire l’attention des chercheurs en cybersécurité et remue tout l’écosystème cyber : conçu pour les environnements Cloud sous Linux, il combine modularité et furtivité tout en présentant des capacités d’espionnage qui dépassent largement tout ce que l’on avait jusqu’ici observé sur cette plateforme.
Les chercheurs de Check Point Research ont dévoilé cette semaine l’existence d’un framework malveillant d’un genre nouveau. Baptisé VoidLink par ses propres créateurs, ce malware ne ressemble à rien de ce que les défenseurs des systèmes Linux ont pu observer jusqu’ici. Conçu dès l’origine pour opérer dans les infrastructures cloud modernes, il est capable de reconnaître les principaux environnements cloud et de détecter s’il s’exécute à l’intérieur de Kubernetes ou de Docker, puis d’adapter son comportement en conséquence.
Le truc avec VoidLink, c’est que la vraie question qu’il pose n’est pas tant « mais que fait-il donc ? » mais plutôt « qu’est-ce que ça nous annonce encore de terrible ? ». Car Check Point Research décrit moins ici un “programme malveillant” classique qu’un framework complet profondément malveillant, pensé pour les infrastructures Linux qui portent le cloud, les conteneurs et, au bout de la chaîne, une partie croissante des services critiques.
Une découverte fortuite dans des builds de développement
Comme souvent pour tout malware vraiment novateur, sa découverte est un peu le fruit du hasard. C’est en décembre 2025 que les analystes de Check Point ont repéré un petit groupe d’échantillons Linux jusqu’alors inconnus. De nombreux binaires incluaient des symboles de débogage et d’autres artefacts de développement, suggérant qu’il s’agissait de versions en cours d’élaboration plutôt que d’un outil finalisé et largement déployé. Cette découverte presque accidentelle a permis aux chercheurs d’observer un framework en pleine maturation, dont les évolutions rapides trahissent une ambition d’envergure.
« VoidLink est bien plus avancé que les malwares Linux habituels » et témoigne d’une « expertise technique de haut niveau de la part de développeurs manifestement rompus à plusieurs langages de programmation » expliquent les chercheurs. Le framework est principalement écrit en Zig (un langage méconnu et minimaliste destiné à remplacer le C), avec des composants en Go et en C.
VoidLink n’a pas été conçu comme un simple script opportuniste, mais comme un écosystème pensé pour maintenir un accès discret et durable aux systèmes compromis, en particulier ceux hébergés sur des plateformes publiques et dans des environnements conteneurisés. Le cœur du dispositif repose sur un vaste kit de chargeurs, implants, capacités de persistance, et sur une console de pilotage web qui centralise la gestion des agents et des modules.
Une extrême modularité au service du pire
Ce qui distingue VoidLink de ses prédécesseurs tient à sa conception résolument modulaire. Son architecture, extrêmement flexible, s’articule autour d’une API de plugins personnalisée qui semble inspirée de l’approche des Beacon Object Files de Cobalt Strike. Cette philosophie permet aux opérateurs d’enrichir ou de modifier les capacités du malware au fil du temps, voire de pivoter lorsque les objectifs changent.
La configuration par défaut embarque déjà 35 plugins couvrant un spectre opérationnel déjà très complet : reconnaissance système, énumération des environnements cloud et conteneurs, collecte de credentials, mouvement latéral, mécanismes de persistance et techniques anti-forensiques. « Ensemble, ces plugins enrichissent les capacités de VoidLink au-delà des environnements cloud pour atteindre les postes de travail des développeurs et administrateurs qui interagissent directement avec ces environnements cloud, transformant toute machine compromise en rampe de lancement flexible pour un accès plus profond ou une compromission de la chaîne d’approvisionnement » soulignent les chercheurs.
Le premier malware « Cloud First »
L’une des grandes originalités de VoidLink, c’est son approche “cloud-first”. Une fois sur une machine, le framework cherche à comprendre son contexte d’exécution. Il sait ainsi reconnaître s’il s’exécute sur des instances AWS, Azure, GCP, Alibaba ou Tencent, et repère la présence de conteneur Docker ou de pod Kubernetes. Cette phase de reconnaissance initiale n’est pas un gadget : elle conditionne la suite des opérations, puisque l’outillage adapte son comportement à l’environnement et aux opportunités offertes par les API et métadonnées du cloud.
Cette connaissance intime des infrastructures cloud lui permet en effet de récupérer les métadonnées d’instance via les API de chaque fournisseur, de collecter les tokens d’authentification et de se fondre dans le trafic légitime. Le ciblage des services de gestion de code source comme Git indique que les ingénieurs logiciels pourraient être des cibles privilégiées, soit pour voler des données sensibles, soit pour exploiter cet accès afin de mener des attaques sur la chaîne d’approvisionnement.
Il en émerge une idée qui fait froid dans le dos : VoidLink ne s’attaque pas d’abord à l’utilisateur final, il vise l’infrastructure et ses plans de contrôle. C’est précisément ce qui en fait un sujet de préoccupation des plus sérieux pour les équipes cloud et plateforme.
La furtivité comme règle de fonctionnement
VoidLink ne se contente pas de « se cacher » comme tout bon malware : il automatise sa discrétion ! Il s’adapte en permanence à son environnement pour maximiser sa discrétion. Dans les environnements bien défendus, VoidLink privilégie la furtivité et ralentit son activité. Dans les environnements avec une surveillance limitée, il peut opérer plus librement.
Il embarque ainsi différents mécanismes d’OPSEC (sécurité opérationnelle) combinant chiffrement de code à l’exécution à des capacités anti-analyse et d’auto-défenses. Le framework énumère les produits de sécurité installés et les mesures de durcissement pour calculer un score de risque. Ce score influence ensuite le comportement de tous les modules : un scan de ports sera par exemple exécuté plus lentement dans un environnement à haut risque. Le malware intègre également une option de code auto-modifiant capable de déchiffrer les régions de code protégées au moment de l’exécution et de les rechiffrer lorsqu’elles ne sont pas utilisées, contournant ainsi les scanners de mémoire. Et si une tentative d’analyse ou de falsification est détectée, VoidLink déclenche son mécanisme d’autodestruction : il s’efface automatiquement et détruit les preuves forensiques en supprimant les historiques de commandes, les enregistrements de connexion, les journaux système et en écrasant les fichiers avec des données aléatoires.
De telles capacités d’ajustement dynamique du comportement ne sont pas forcément une nouveauté mais elles n’avaient jamais été poussées aussi loin sous Linux.
L’espion qui aimait les clouds
Pour Check Point, VoidLink semble particulièrement s’intéresser aux identifiants et secrets qui font tourner les chaînes DevOps modernes : credentials cloud, jetons, accès à Git et aux systèmes de gestion de code. Toute cette collecte trahit un usage orienté espionnage tout en ouvrant la porte à des des scénarios de compromission par ricochet, notamment via la supply chain logicielle.
Le framework exploite même une couche messagerie chiffrée (dénommée “VoidStream”) destinée à camoufler les échanges pour qu’ils ressemblent à du trafic web ou API banal, ce qui colle parfaitement à une menace conçue pour vivre longtemps au milieu des flux cloud.
À ce stade, Check Point indique ne pas avoir observé de preuves d’infections “dans la nature”, et considère encore comme incertain l’usage final d’un tel framework même si l’on ne peut écarter l’hypothèse d’un kit malveillant destiné à une offre commerciale ou développé pour un client.
De même, Check Point se garde bien de toute attribution définitive mais constate que l’interface de commandes Web de ce malware est écrite en Chinois.
Ce qui nous ramène à la question de départ : Que nous annonce ce nouveau malware ? Certains experts y voient le signe avant-coureur mais prévisible d’un basculement des cyberattaques vers des compromissions silencieuses au cœur même des infrastructures cloud. Et, effectivement, ça n’est pas rassurant du tout !
À LIRE AUSSI :
À LIRE AUSSI :
