Aralık 2025’te Check Point Research’teki (CPR) siber güvenlik uzmanları, VoidLink adında yeni ve gelişmiş bir araç seti keşfetti. Bilgisayar korsanlarının çoğu Windows’u hedef alsa da VoidLink, büyük şirketlerin kullandığı Linux tabanlı bulut ortamlarında yaşamak üzere özel olarak oluşturulmuş, bulut öncelikli bir tehdittir.
Araştırma, muhtemelen Çin’e bağlı bir grup olan geliştiricilerin elit teknik becerilere sahip olduğunu ortaya koyuyor. Zig, Go, C ve React gibi dillerde uzmandırlar ve hatta hedeflerini kontrol etmek için Çince profesyonel bir web kontrol paneli bile oluşturdular.
VoidLink Nasıl Çalışır?
VoidLink son derece akıllıdır. Bir sisteme bulaştığında otomatik olarak sistemin Amazon (AWS), Google Cloud, Microsoft Azure, Alibaba veya Tencent’te çalışıp çalışmadığını kontrol eder. Hatta bu listeyi DigitalOcean ve Huawei’yi de içerecek şekilde genişletme planları bile var.
İçeri girdikten sonra dijital casus görevi görür. Araştırmacılara göre, SSH anahtarları ve Git oturum açma bilgileri gibi yazılım mühendisleri tarafından kullanılan gizli anahtarlar olan kimlik bilgilerini araştırıyor. Ayrıca şirketlerin modern uygulamalarını çalıştırmak için kullandıkları yapı taşları olan Docker ve Kubernetes gibi konteynerlerin içinde de saklanabiliyor.
Gelişmiş Gizlilik ve Gizleme
Araştırmacılar, VoidLink’in bir kılık değiştirme ustası olduğunu belirtti. Bulduğu Linux sürümüne bağlı olarak üç farklı gizleme yöntemi arasından seçim yapar: LD_PRELOAD, eBPİçin LKM. Operatörleriyle konuşmak için VoidStream adı verilen özel bir protokol kullanıyor. Bu protokol, çalınan verileri kamufle ederek resimler (PNG’ler) veya standart kod (JS/CSS) gibi masum web sitesi dosyaları gibi görünmesini sağlar.
Daha ileri araştırmalar, yazılımın inanılmaz derecede “modüler” olduğunu ve 37 eklentilik bir sisteme sahip olduğunu ortaya çıkardı. Bu, bilgisayar korsanlarının kanıtları silmeye veya kendi erişim düzeylerini artırmaya yönelik araçlar gibi yeni özellikleri anında eklemelerine olanak tanır.
Uyarlanabilir Savunmadan Kaçınma
Bildiğimiz gibi çoğu kötü amaçlı yazılım statiktir ancak VoidLink uyarlanabilir gizlilik kullanır. Güvenlik yazılımını tarar ve ortama bir risk puanı verir. Risk yüksekse, karışmak için daha yavaş çalışır. Hatta doğrudan açık internete bağlanmadan, diğer virüslü bilgisayarlarla bir ağ oluşturarak mesaj iletebilir.
Belki de en etkileyici olanı, VoidLink bir güvenlik uzmanının onu analiz etmeye çalıştığını tespit ederse, arkasında hiçbir kanıt bırakmayacak şekilde kendi kendini silecektir. Henüz gerçek dünyadan herhangi bir kurban bildirilmese de araştırmacılar, kodun o kadar gösterişli ve iyi belgelenmiş olduğunu, hatta diğer suçlulara satılmasının tasarlanabileceğini belirtti. Uzmanlar şimdilik şirketleri bu ortaya çıkan tehdide karşı bulut savunmalarını güçlendirmeye çağırıyor.
(Fotoğraf: Unsplane’de Growtika tarafından)