Alguien se ha instalado en tu Docker — y parece que habla chino
Conoce VoidLink: un virus modular que vive en la memoria y roba claves de la nube.
En diciembre de 2025 los especialistas de Check Point descubrieron un nuevo instrumento malicioso, desarrollado para operar de forma sigilosa y prolongada en infraestructuras en la nube basadas en Linux. El marco multifuncional recibió el nombre VoidLink. Está orientado a explotar entornos contenedorizados y es capaz de adaptarse a distintas tareas, admitiendo la ampliación dinámica de sus capacidades mediante un sistema de módulos integrado.
VoidLink fue creado inicialmente pensando en servicios en la nube. Detecta con facilidad en qué entorno se ejecuta — ya sea Docker, Kubernetes o plataformas cloud concretas, incluidas AWS, Google Cloud, Azure, así como los servicios de los proveedores chinos Alibaba y Tencent. La herramienta puede recopilar datos de cuentas en la nube y en sistemas populares de gestión de código fuente, como Git.
Según los expertos de Check Point, los creadores del marco malicioso son un grupo cibernético vinculado a China. La arquitectura interna de VoidLink es flexible y está orientada a una presencia prolongada en el sistema. El elemento central es una API propia para módulos, inspirada en los principios de Beacon Object Files de Cobalt Strike. En el momento del análisis el marco incluía más de 30 complementos que se activan según sea necesario.
El conjunto de funciones apunta a un enfoque hacia desarrolladores de software — probablemente con el objetivo de robar datos o comprometer cadenas de suministro. Permite recopilar información sobre la infraestructura, extraer credenciales, moverse lateralmente dentro de la red y mantener persistencia en el sistema.
VoidLink puede enmascarar su actividad mediante métodos que dependen de la versión del kernel de Linux. Se usan LD_PRELOAD, módulos de kernel cargables (LKM) y eBPF para ocultar procesos. Los complementos se ejecutan en memoria, ampliando la funcionalidad sin dejar rastro en disco. Para comunicarse con el servidor de comando se emplean distintos canales — desde HTTP/HTTPS hasta tunelización DNS y WebSocket. Además, las máquinas infectadas pueden formar una red P2P, lo que dificulta su detección.
La gestión se realiza a través de una interfaz web en chino, que permite recopilar datos, subir archivos, configurar el comportamiento de la herramienta maliciosa y lanzar fases de ataque — desde reconocimiento y establecimiento hasta movimiento lateral encubierto en la infraestructura y borrado de huellas.
VoidLink incluye 37 complementos, entre los que hay módulos para eliminar rastros digitales, salir de contenedores, escalada de privilegios, recopilación de claves SSH, tokens y claves API, así como para infectar otros sistemas vía SSH. También puede alterar las marcas temporales de archivos y ocultar comandos en el historial del shell.
Un orquestador dedicado coordina los procesos, gestionando tareas y comunicaciones. El nivel de protección contra el análisis es alto: VoidLink puede eliminarse al detectarse una intervención, usar código automodificable y ocultar sus regiones de memoria durante la ejecución. También analiza el software de seguridad instalado y la rigidez de la configuración del sistema para adaptar su comportamiento y minimizar el riesgo de detección. Por ejemplo, ralentizando el escaneo de puertos.
Los especialistas subrayan que los creadores de VoidLink dominan lenguajes de programación modernos, incluidos Go, Zig y C, y conocen los marcos actuales. Su profundo entendimiento del funcionamiento de los sistemas operativos les permitió implementar una arquitectura compleja, adaptable y difícil de detectar, especialmente en infraestructuras escalables y distribuidas.