37 «κακά» plugins και επίκεντρο τα cloud accounts των θυμάτων
Το VoidLink, το πρόσφατα εντοπισμένο Linux malware που στοχεύει τα cloud περιβάλλοντα των θυμάτων με 37 κακόβουλα plugins, δημιουργήθηκε «σχεδόν εξ ολοκλήρου από τεχνητή νοημοσύνη» και πιθανότατα αναπτύχθηκε από ένα μόνο άτομο, σύμφωνα με την ερευνητική ομάδα που ανακάλυψε το implant πολλαπλών χρήσεων.
Την περασμένη εβδομάδα, η Check Point Research δημοσίευσε έκθεση για δείγματα κακόβουλου λογισμικού που δεν είχαν εμφανιστεί ξανά, τα οποία ανακαλύφθηκαν αρχικά τον Δεκέμβριο.
Ανέφερε ότι το VoidLink έμοιαζε με framework υπό ανάπτυξη — όχι με πλήρως «production-ready» εργαλείο — και ότι προερχόταν από κινεζικά συνδεδεμένο περιβάλλον ανάπτυξης.
Σχεδιασμένο για Linux-based cloud περιβάλλοντα
Το VoidLink είναι φτιαγμένο για να εκτελείται σε cloud υποδομές βασισμένες σε Linux και να κάνει αυτόματα σάρωση/εντοπισμό για:
- AWS
- Google Cloud Platform (GCP)
- Microsoft Azure
- Alibaba Cloud
- Tencent Cloud
Επιπλέον, περιλαμβάνει custom loaders, implants, rootkits και πολλά modules που παρέχουν στους επιτιθέμενους ένα ευρύ φάσμα δυνατοτήτων stealth και operational security (OpSec), κάνοντάς το «πολύ πιο προηγμένο από το τυπικό Linux malware», σύμφωνα με την Check Point.
Νέα ανάλυση: δεν φαίνεται έργο μεγάλης ομάδας, αλλά AI
Σε νέα ανάλυση που δημοσιεύτηκε την Τρίτη, η εταιρεία κυβερνοασφάλειας υποστήριξε ότι το malware πιθανότατα δεν είναι προϊόν μεγάλης και καλά χρηματοδοτούμενης ομάδας ανάπτυξης, παρότι αρχικά έτσι έμοιαζε.
Αντίθετα, η Check Point Research εκτιμά ότι το VoidLink γράφτηκε σχεδόν εξ ολοκλήρου από AI, πιθανότατα υπό την καθοδήγηση ενός ατόμου, ενώ artifacts ανάπτυξης δείχνουν ότι έφτασε σε πρώτο λειτουργικό implant σε λιγότερο από μία εβδομάδα.
«Το VoidLink δείχνει ότι η πολυαναμενόμενη εποχή του εξελιγμένου malware που παράγεται από AI πιθανότατα έχει ξεκινήσει», έγραψαν οι threat hunters.
Χρονοδιάγραμμα 30 εβδομάδων… που δεν “κολλάει” με τα δεδομένα
Η ομάδα κατέληξε σε αυτό το συμπέρασμα αφού παρατήρησε ότι ένα προγραμματισμένο χρονοδιάγραμμα ανάπτυξης 30 εβδομάδων, το οποίο διέρρευσε σε εσωτερικά έγγραφα του VoidLink, δεν ταίριαζε με το πραγματικό χρονοδιάγραμμα που προέκυπτε από τα στοιχεία — το οποίο υποδείκνυε πολύ ταχύτερη διαδικασία.
Σύμφωνα με την έκθεση:
- εντοπίστηκαν σαφή artifacts ότι το ίδιο το development plan δημιουργήθηκε και «ενορχηστρώθηκε» από μοντέλο AI
- τα έγγραφα με timestamps δείχνουν πως το VoidLink εξελίχθηκε από ιδέα σε λειτουργικό malware σε λιγότερο από μία εβδομάδα
Trae Solo: ο AI βοηθός που χρησιμοποιήθηκε στην αρχή
Ο developer ξεκίνησε να δουλεύει πάνω στο VoidLink στα τέλη Νοεμβρίου και χρησιμοποίησε το Trae Solo — έναν AI assistant ενσωματωμένο στο IDE Trae — για να δημιουργήσει ένα έγγραφο οδηγιών στην κινεζική γλώσσα.
Σημειώνεται ότι το άτομο δεν ζήτησε άμεσα από τον AI agent να χτίσει το malware.
Μάλιστα, έδωσε εντολή στο μοντέλο να μην υλοποιήσει κώδικα ή να μην παρέχει τεχνικές λεπτομέρειες για τεχνικές δημιουργίας malware, κάτι που θα μπορούσε να αποτελεί προσπάθεια χειρισμού του AI ώστε να παρακάμψει τα safety guardrails.
Ένδειξη «ολικής επανεγγραφής» του κώδικα
Επιπρόσθετα, η τεκμηρίωση χαρτογράφησης (mapping) του code repository υποδηλώνει ότι:
- στο μοντέλο δόθηκε μια ελάχιστη codebase ως αφετηρία
- και στη συνέχεια αυτό το αρχικό σημείο ξαναγράφηκε πλήρως, από άκρη σε άκρη
«Πλάνο τριών ομάδων» με χαρακτηριστικά LLM
Οι ερευνητές της Check Point βρήκαν επίσης ένα πλάνο εργασίας στα κινεζικά για τρεις ομάδες ανάπτυξης:
- core team (γλώσσα Zig)
- arsenal team (C)
- backend team (Go)
Η τεκμηρίωση, που οι αναλυτές λένε ότι «φέρει όλα τα χαρακτηριστικά ενός large language model», περιλαμβάνει:
- sprint schedules
- ανάλυση λειτουργιών (feature breakdown)
- οδηγίες κωδικοποίησης (coding guidelines)
88.000 γραμμές κώδικα σε 6 ημέρες (και upload στο VirusTotal)
Παρότι το project παρουσιάστηκε στο μοντέλο ως προσπάθεια μηχανικής διάρκειας 30 εβδομάδων, τα έγγραφα με timestamps δείχνουν ότι χρειάστηκαν μόλις έξι ημέρες για να παραχθούν 88.000 γραμμές κώδικα.
Στη συνέχεια, το δείγμα ανέβηκε στο VirusTotal στις 4 Δεκεμβρίου, οπότε και ξεκίνησε η έρευνα της Check Point.
Σύμφωνα με την ομάδα, αυτό υποδεικνύει ότι η AI — όταν χρησιμοποιείται από έναν ικανό developer — μπορεί να παράγει σύνθετα offensive εργαλεία πιο γρήγορα και σε κλίμακα, χωρίς τη χρηματοδότηση και τους πόρους που συνήθως συναντώνται μόνο σε έμπειρες threat groups.
Δεν είναι «αυτόνομη» AI επίθεση, αλλά αλλάζει τα δεδομένα
Δεν πρόκειται για πλήρως αυτόνομη επίθεση καθοδηγούμενη από AI.
Ωστόσο, δείχνει ότι AI agents μπορούν να βοηθήσουν ανθρώπους να παράγουν πολύ ικανά και δυσδιάκριτα εργαλεία για κακόβουλους σκοπούς.
