Yakın zamanda keşfedilen karmaşık Linux kötü amaçlı yazılım çerçevesi, Geçersiz Bağlantı Yapay zeka (AI) modelinin yardımıyla tek bir kişi tarafından geliştirildiği değerlendiriliyor.
Bu, kötü amaçlı yazılımın yazarının, gelişimsel kökenlerine dair ipuçları sağlayan operasyonel güvenlik hatalarını tespit eden Check Point Research’ün yeni bulgularına göre. En son bilgiler, VoidLink’i büyük ölçüde yapay zeka kullanılarak oluşturulan gelişmiş kötü amaçlı yazılımların ilk örneklerinden biri haline getiriyor.
Siber güvenlik şirketi, “Bu materyaller, kötü amaçlı yazılımın ağırlıklı olarak yapay zeka odaklı geliştirme yoluyla üretildiğine ve bir haftadan kısa bir sürede ilk işlevsel implantasyonuna ulaştığına dair açık kanıtlar sağlıyor” dedi ve Aralık 2025’in başlarında 88.000’den fazla kod satırına ulaştığını ekledi.
İlk olarak geçen hafta kamuya açık olarak belgelenen VoidLink, Zig’de yazılmış, Linux tabanlı bulut ortamlarına uzun vadeli, gizli erişim için özel olarak tasarlanmış, zengin özelliklere sahip bir kötü amaçlı yazılım çerçevesidir. Kötü amaçlı yazılımın Çin’e bağlı bir geliştirme ortamından geldiği söyleniyor. Bu yazının yazıldığı an itibariyle, kötü amaçlı yazılımın kesin amacı belirsizliğini koruyor. Bugüne kadar hiçbir gerçek dünya enfeksiyonu gözlemlenmedi.
Sysdig tarafından yapılan bir takip analizi, dört farklı kanıta atıfta bulunarak, araç setinin kapsamlı çekirdek geliştirme bilgisine ve kırmızı takım deneyimine sahip bir insanın yönlendirmeleri altında büyük bir dil modelinin (LLM) yardımıyla geliştirilmiş olabileceğini vurgulayan ilk analiz oldu:
- Tüm modüllerde mükemmel tutarlı formatlamayla aşırı sistematik hata ayıklama çıktısı
- Yer tutucu verileri (“John Doe”), tuzak yanıt şablonlarına yerleştirilmiş LLM eğitim örneklerinin tipik bir örneğidir
- Her şeyin _v3 olduğu tek tip API sürümü (örneğin, BeaconAPI_v3, docker_escape_v3, timestomp_v3)
- Mümkün olan her alanı kapsayan şablon benzeri JSON yanıtları
Bulut güvenlik sağlayıcısı geçen haftanın sonlarında şunları kaydetti: “En olası senaryo: Çince konuşan yetenekli bir geliştirici, geliştirmeyi hızlandırmak için yapay zekayı kullandı (ortak metin oluşturma, hata ayıklama günlüğü oluşturma, JSON şablonları) ve aynı zamanda güvenlik uzmanlığını ve mimariyi kendisi sağladı.”
Check Point’in Salı günkü raporu, bu hipotezi destekleyerek, geliştirmenin kendi içinde bir yapay zeka modeli kullanılarak tasarlandığını ve bunun daha sonra çerçeveyi oluşturmak, yürütmek ve test etmek için kullanıldığını ve konsept olanı hızlandırılmış bir zaman çizelgesi içinde etkili bir şekilde çalışan bir araca dönüştürdüğünü öne süren eserler tespit ettiğini belirtti.
 |
| VoidLink Projesine üst düzey genel bakış |
“VoidLink’i geliştirmeye yönelik genel yaklaşım, Spesifikasyon Odaklı Geliştirme (SDD) olarak tanımlanabilir” dedi. “Bu iş akışında geliştirici, ne inşa edeceklerini belirterek başlıyor, ardından bir plan oluşturuyor, bu planı görevlere ayırıyor ve ancak bundan sonra bir aracının bunu uygulamasına izin veriyor.”
Tehdit aktörünün, görevleri yerine getirmek için TRAE SOLO olarak bilinen bir kodlama aracısından yararlanarak Kasım 2025’in sonlarında VoidLink üzerinde çalışmaya başladığına inanılıyor. Bu değerlendirme, kaynak koduyla birlikte tehdit aktörünün sunucusuna kopyalanan ve daha sonra açıkta kalan bir açık dizine sızdırılan, TRAE tarafından oluşturulan yardımcı dosyaların varlığına dayanmaktadır.
Buna ek olarak Check Point, sprint programları, özellik dökümleri ve LLM tarafından oluşturulan içeriğin tüm özelliklerini taşıyan iyi yapılandırılmış, tutarlı biçimde biçimlendirilmiş ve titizlikle ayrıntılı kodlama yönergeleriyle ilgili Çince yazılmış dahili planlama materyalini ortaya çıkardığını söyledi. Kalkınma planını detaylandıran böyle bir belge 27 Kasım 2025’te oluşturuldu.
Belgelerin, LLM’nin kötü amaçlı yazılımı takip etmesi, oluşturması ve test etmesi için bir yürütme planı olarak yeniden tasarlandığı söyleniyor. Geliştiricinin kullandığı TRAE IDE’yi kullanarak uygulama iş akışını kopyalayan Check Point, modelin VoidLink’in kaynak koduna benzeyen kod ürettiğini buldu.
 |
| Üç takım için tercüme edilmiş geliştirme planı: Core, Arsenal ve Backend |
“Kurtarılan VoidLink kaynak koduna göre kod standardizasyon talimatlarının incelenmesi, çarpıcı düzeyde bir uyum gösteriyor” dedi. “Konvansiyonlar, yapı ve uygulama kalıpları o kadar yakından eşleşiyor ki şüpheye pek yer bırakmıyor: kod tabanı tam olarak bu talimatlara göre yazılmış.”
Bu gelişme, AI ve LLM’lerin kötü aktörleri yeni yeteneklerle donatmasa da, kötü niyetli aktörlerin giriş engelini daha da azaltıp, tek bir bireye bile karmaşık sistemleri hızlı bir şekilde hayal etme, oluşturma ve yineleme ve karmaşık saldırıları gerçekleştirme yetkisi vererek, bir zamanlar önemli miktarda çaba ve kaynak gerektiren ve yalnızca ulus devlet düşmanlarının erişebildiği bir süreci kolaylaştırabileceğinin bir başka işaretidir.
Check Point Research’ün grup yöneticisi Eli Smadja, The Hacker News ile paylaşılan bir açıklamada, “VoidLink, gelişmiş kötü amaçlı yazılımların nasıl oluşturulabileceği konusunda gerçek bir değişimi temsil ediyor. Göze çarpan şey yalnızca çerçevenin karmaşıklığı değil, aynı zamanda oluşturulma hızıydı” dedi.
“Yapay zeka, karmaşık bir kötü amaçlı yazılım platformunu günler içinde planlamak, geliştirmek ve yinelemek için tek bir aktör gibi görünen bir şeyi mümkün kıldı; bu, daha önce koordineli ekipler ve önemli kaynaklar gerektiren bir şeydi. Bu, yapay zekanın siber tehditlerin ekonomisini ve ölçeğini değiştirdiğinin açık bir işaretidir.”
Group-IB, bu hafta yayınlanan bir teknik incelemede yapay zekayı, siber suçların evriminde “beşinci dalgayı” güçlendiren ve karmaşık saldırıları mümkün kılmak için hazır araçlar sunan bir araç olarak tanımladı. “Düşmanlar yapay zekayı sanayileştiriyor; ikna etme, kimliğe bürünme ve kötü amaçlı yazılım geliştirme gibi uzmanlık becerilerini, kredi kartı olan herkesin erişebileceği isteğe bağlı hizmetlere dönüştürüyor” dedi.
Singapur merkezli siber güvenlik şirketi, AI anahtar kelimelerinin yer aldığı dark web forum gönderilerinin 2019’dan bu yana %371 oranında arttığını, tehdit aktörlerinin Nytheon AI gibi herhangi bir etik kısıtlamaya sahip olmayan karanlık LLM’lerin, jailbreak çerçevelerinin ve AI video aktörleri, klonlanmış sesler ve hatta biyometrik veri kümelerini 5 $ gibi düşük bir fiyata sunan sentetik kimlik kitlerinin reklamını yaptığını belirtti.
INTERPOL’ün eski siber suç direktörü ve bağımsız stratejik danışman Craig Jones, “Yapay zeka siber suçları endüstrileştirdi. Bir zamanlar yetenekli operatörler ve zaman gerektiren şeyler artık satın alınabiliyor, otomatikleştirilebiliyor ve küresel olarak ölçeklendirilebiliyor” dedi.
“Yapay zeka, siber suçlular için yeni motivasyonlar yaratmamış olsa da (para, nüfuz ve erişim hâlâ ekosistemi yönlendiriyor) bu motivasyonların takip edildiği hızı, ölçeği ve karmaşıklığı önemli ölçüde artırdı.”