Thought Leadership
Eine neu analysierte Schadsoftware namens VoidLink zeigt, wie stark sich Linux-basierte Angriffe in Richtung Cloud- und Container-Infrastrukturen weiterentwickeln.
Nachdem Check Point Research VoidLink Anfang 2026 erstmals öffentlich gemacht hatte, nahm auch das Sicherheitsteam von Sysdig das Framework genauer unter die Lupe. Die Ergebnisse deuten auf eine technisch ausgereifte Malware hin, die gezielt auf moderne Cloud-Umgebungen zugeschnitten ist.
Dynamisch angepasst an das Zielsystem
Im Zentrum von VoidLink steht ein ungewöhnlicher Ansatz: Statt fertige Kernel-Module mitzuliefern, sammelt das Schadprogramm zunächst detaillierte Informationen über das Zielsystem. Auf dieser Basis erzeugt ein externer Steuerungsserver passgenaue Rootkit-Komponenten für die jeweilige Kernel-Version. Dadurch bleibt die Malware selbst sehr klein, während sich ihre Funktionalität flexibel an unterschiedliche Linux-Systeme anpassen lässt.
Auffällig ist zudem die Wahl der Programmiersprache. Teile der Malware sind in Zig umgesetzt, einer vergleichsweise jungen Sprache, die bislang kaum in Schadsoftware zum Einsatz kam. Dies erschwert die Analyse zusätzlich, da entsprechende Signaturen und Erfahrungswerte fehlen.
Verstecken auf Kernel-Ebene
VoidLink arbeitet tief im Systemkern und nutzt unterschiedliche Techniken, um sich vor Entdeckung zu schützen. Je nach Linux-Version kommen eBPF-Mechanismen, klassische Kernel-Module oder eine Kombination aus beiden zum Einsatz. Ziel ist es, Prozesse, Netzwerkverbindungen, Dateien und sogar das Rootkit selbst vor Administrations- und Monitoring-Werkzeugen zu verbergen.
Dabei greift die Malware gezielt in Systemaufrufe ein, die beispielsweise von Werkzeugen wie ls, netstat oder ss verwendet werden. Die angezeigten Informationen werden manipuliert, sodass sicherheitsrelevante Aktivitäten unsichtbar bleiben.
Mehrere Steuerungswege parallel
Für die Kommunikation mit den Angreifern nutzt VoidLink gleich mehrere Kontrollkanäle. Neben klassischen Netzwerkverbindungen existieren lokale Steuermechanismen ohne Netzwerkverkehr sowie ein verdeckter Kanal über ICMP-Pakete. Selbst wenn einzelne Kommunikationswege blockiert werden, bleibt die Malware dadurch steuerbar.
Besonders problematisch ist eine integrierte Selbstzerstörungsfunktion. Auf Befehl kann VoidLink Spuren verwischen, Logdateien löschen, temporäre Verzeichnisse bereinigen und sich anschließend selbst entfernen. Für die forensische Analyse bleibt in solchen Fällen nur wenig verwertbares Material zurück.
Fokus auf Container und Kubernetes
Die Analyse zeigt klar, dass VoidLink für den Einsatz in Cloud-nativen Umgebungen konzipiert wurde. Die Malware erkennt Container-Technologien wie Docker, prüft Kubernetes-spezifische Konfigurationen und versucht, typische Schwachstellen auszunutzen. Dazu zählen etwa zu weitreichende Berechtigungen, unsichere Mounts oder offen zugängliche Cloud-Metadaten-Dienste.
Damit reiht sich VoidLink in eine wachsende Zahl von Angriffswerkzeugen ein, die gezielt auf Fehlkonfigurationen in Cloud- und Container-Plattformen setzen, anstatt klassische Desktop- oder Serverumgebungen anzugreifen.
Erkennung bleibt möglich – mit dem richtigen Ansatz
Trotz der ausgefeilten Tarnmechanismen ist VoidLink nicht unsichtbar. Auffällige Laufzeitmuster, ungewöhnliche Systemaufrufe oder das Nachladen von eBPF-Programmen lassen sich mit verhaltensbasierter Überwachung erkennen. Auch Anomalien im ICMP-Verkehr oder unerwartete Zugriffe auf Cloud-Metadaten können Hinweise auf eine Infektion liefern.
Sicherheitsexperten empfehlen daher, Kernel- und eBPF-Aktivitäten konsequent zu überwachen, Container-Umgebungen restriktiv zu konfigurieren und bei Auffälligkeiten Zugangsdaten sowie Schlüssel konsequent zu erneuern.
Ein neues Niveau bei Linux-Schadsoftware
VoidLink verdeutlicht, wie professionell und flexibel moderne Linux-Malware inzwischen entwickelt wird. Die Kombination aus dateiloser Ausführung, adaptiver Tarnung und serverseitig angepassten Rootkits stellt insbesondere Cloud-Betreiber vor neue Herausforderungen. Gleichzeitig zeigt der Fall, dass klassische signaturbasierte Sicherheitsansätze nicht mehr ausreichen und durch Laufzeit- und Verhaltensanalysen ergänzt werden müssen.
