Prethodno nepoznati akter prijetnje, označen kao UAT-9921, primijećen je u korištenju novog modularnog okvira pod nazivom VoidLink. Ova aktivnost, koja se usredotočuje na sektor tehnologije i financijskih usluga, istražena je od strane stručnjaka iz Cisco Talosa. Njihova analiza otkriva da je UAT-9921 aktivan od 2019. godine, no nije jasno je li VoidLink bio korišten tijekom cijelog tog perioda.
Istraživači Nick Biasini, Aaron Boyd, Asheer Malhotra i Vitor Ventura ističu da UAT-9921 koristi kompromitirane hostove za instaliranje VoidLink naredbi i kontrole (C2), što mu omogućava izvođenje aktivnosti skeniranja unutar i izvan mreže.
VoidLink je prvi put dokumentiran od strane Check Pointa, koji je opisuje kao napredni okvir zlonamjernog softvera napisan u Zig-u, a namijenjen je tajnom pristupu okruženjima oblaka temeljenim na Linuxu. Analize sugeriraju da je izrada ovog okvira uključivala sudjelovanje jednog razvojnog programera uz pomoć velikog jezičnog modela (LLM).
Razvojni proces VoidLinka uključuje suradnju između različitih timova, što ukazuje na to da bi ovaj arsenal mogli nadograditi razni stručnjaci. Ova složenost može dodatno otežati prepoznavanje prijetnji, posebno kada se uzmu u obzir opcije i funkcionalnosti koje ovaj okvir nudi.
UAT-9921, prema nalazima, posjeduje znanje kineskog jezika, što se može vidjeti u jeziku koda i komentarima unutar VoidLinka. Ova značajka može ukazivati na potencijalno geografsko usmjerenje operacija koje provode akteri prijetnji.
Operateri koji implementiraju VoidLink imaju pristup različitim modulima i alatima za interakciju s implantatima, bez potrebe za izravnom povezanošću s C2. Ovo ukazuje na visoko razinu interne stručnosti unutar timova koji se bave razvojem ovog potencijalno opasnog softvera.
VoidLink se koristi kao post-kompromitirani alat, omogućujući napadačima da izbjegnu uobičajene detekcijske mehanizme. Na zaraženim poslužiteljima, primijećeni su SOCKS proxyji, koji se koriste za interno skeniranje i bočno kretanje, koristeći alate otvorenog koda poput Fscan.
Cisco Talos izvještava o više žrtava povezanih s VoidLinkom još od rujna 2025., što sugerira da su radnje oko ovog zlonamjernog softvera počele ranije od onoga što je dokumentirano. U trenutnom trenutku, informacija o korištenju VoidLinka od strane UAT-9921 se još uvijek istražuje, a stručnjaci iz Check Pointa naglašavaju potrebu za daljnjom analizom.
VoidLink se razvija uz upotrebu tri različita programska jezika: ZigLang, C i GoLang, a njegova struktura omogućava kompilaciju dodataka na zahtjev. Ova sposobnost znatno olakšava ciljnu analizu, pružajući napadačima visoku razinu kontrole.
Okvir uključuje mehanizme za ometanje analize i sprječavanje njegovog uklanjanja, kao i strategije za izbjegavanje detekcije od strane EDR rješenja. Ove funkcionalnosti čine VoidLink izuzetno sofisticiranim alatom za kibernetičke napade.
C2 sustav ovog okvira omogućava operateru da preuzme dodatne alate potrebne za eksploataciju specifičnih ranjivosti, dok se istovremeno istražuje okruženje. Ova fleksibilnost nudi neviđene mogućnosti akterima prijetnji.
Još jedna ključna značajka VoidLinka je njegov mehanizam kontrole pristupa temeljenog na ulogama (RBAC), što ukazuje na razinu pomne izrade ovog okvira. Uz tri nivoa uloga — SuperAdmin, Operator i Viewer — osigurava se dodatna složenost unutar sustava.
Također postoje naznake da postoji glavni implantat koji je razvijen za Windows operativni sustav, sposobno učitavati dodatke putem bočnog učitavanja DLL-a. Ovo pokazuje praktičnost koju VoidLink nudi napadačima.
Sve ove karakteristike zajedno čine VoidLink potencijalno moćnim alatom, spremnim za daljnje evolucije i adaptacije prema stalno mijenjajućim kibernetičkim prijetnjama.
