Check Point-Forschung offengelegt zu Details zu VoidLink, das als erstes dokumentiertes fortschrittliches Malware-Framework identifiziert wurde, das überwiegend auf künstlicher Intelligenz (KI) basiert und eine neue Ära KI-generierter Malware einläutet. Zuvor wurden Beweise von KI generiert Schadsoftware Dies deutete größtenteils auf die Verwendung durch unerfahrene Bedrohungsakteure hin oder spiegelte vorhandene Open-Source-Tools wider. VoidLink zeigt jedoch das Potenzial von KI in den Händen fähigerer Entwickler. Betriebssicherheitsfehler (OPSEC) des VoidLink-Entwicklers legten interne Entwicklungsartefakte offen, darunter Dokumentation, Quellcode und Projektkomponenten, was darauf hindeutet, dass die Malware in weniger als einer Woche ein funktionsfähiges Implantat erreicht hat. Diese Materialien lieferten klare Beweise für eine KI-gesteuerte Entwicklung. Der Akteur nutzte eine Methodik namens Spec Driven Development (SDD) und beauftragte ein KI-Modell mit der Erstellung eines strukturierten Entwicklungsplans für mehrere Teams, einschließlich Sprintplänen und Spezifikationen. Das Modell nutzte diese Dokumentation dann als Blaupause, um die Malware durchgängig zu implementieren, zu iterieren und zu testen. VoidLink zeigte ein hohes Maß an Reife, Funktionalität, effizienter Architektur und dynamischem Betriebsmodell und nutzte Technologien wie eBPF und LKM-Rootkits sowie dedizierte Module für Cloud-Enumeration und Post-Exploitation in Container-Umgebungen. CPR beobachtete, dass sich die Malware schnell von einem funktionalen Entwicklungsaufbau zu einem umfassenden, modularen Framework mit zusätzlichen Komponenten und einer Befehls- und Kontrollinfrastruktur entwickelte. Zu den Entwicklungsartefakten gehörte die Planungsdokumentation für drei verschiedene interne „Teams“ über mehr als 30 Wochen geplanter Entwicklung. CPR stellte eine Diskrepanz zwischen dem dokumentierten Sprint-Zeitplan und der beobachteten schnellen Erweiterung der Fähigkeiten der Malware fest. Die Untersuchung ergab, dass der Entwicklungsplan selbst von einem KI-Modell erstellt und orchestriert wurde, das wahrscheinlich als Blaupause für den Aufbau, die Ausführung und das Testen des Frameworks diente. Die von KI erstellte Dokumentation, die gründlich und mit einem Zeitstempel versehen war, zeigte, dass eine einzelne Person KI nutzte, um VoidLink in weniger als sieben Tagen vom Konzept zur sich entwickelnden Realität zu entwickeln. Die Entwicklung von VoidLink begann voraussichtlich Ende November 2025 mit TRAE SOLO, einem KI-Assistenten innerhalb einer KI-zentrierten IDE namens TRAE. Von TRAE generierte Hilfsdateien, die wichtige Teile der ursprünglichen Anweisungen beibehalten, wurden aufgrund eines offenen Verzeichnisses auf dem Server des Bedrohungsakteurs versehentlich offengelegt. Zu diesen Dateien gehörten chinesischsprachige Anleitungsdokumente mit Anweisungen wie:
- Objektiv: Das Modell wurde angewiesen, keine kontradiktorischen Techniken zu implementieren oder technische Details bereitzustellen, die wahrscheinlich Sicherheitsbeschränkungen umgehen würden.
- Materialbeschaffung: Das Modell wurde angewiesen, auf eine vorhandene Datei „c2架构.txt“ zu verweisen, die die Seed-Architektur für die C2-Plattform enthält.
- Aufschlüsselung der Architektur: Zerlegt die anfängliche Eingabe in diskrete Komponenten.
- Risiko und Compliance: Eingerahmte Arbeit im Hinblick auf rechtliche Grenzen, möglicherweise um das Modell in Richtung freizügiger Reaktionen zu lenken.
- Code-Repository-Zuordnung: Es wurde angegeben, dass VoidLink von einer vorhandenen minimalen Codebasis gebootstrappt und anschließend neu geschrieben wurde.
- Leistungen: Ich habe eine Architekturzusammenfassung, eine Risiko-/Compliance-Übersicht und eine technische Roadmap angefordert.
- Nächste Schritte: Bestätigung des Agenten, nach Bereitstellung der TXT-Datei fortzufahren.
Die ursprüngliche Roadmap enthielt einen 20-wöchigen Sprintplan für ein Kernteam (Zig), ein Arsenal-Team (C) und ein Backend-Team (Go), einschließlich Begleitdateien für eine ausführliche Sprintdokumentation und dedizierter Standardisierungsdateien, die Codierungskonventionen vorschreiben. Die Überprüfung dieser Code-Standardisierungsanweisungen durch CPR anhand des wiederhergestellten VoidLink-Quellcodes ergab eine hohe Übereinstimmung bei Konventionen, Struktur und Implementierungsmustern. Obwohl es sich um einen 30-wöchigen Entwicklungsaufwand handelte, deutete ein wiederhergestelltes Testartefakt vom 4. Dezember 2025 darauf hin, dass VoidLink funktionsfähig war und nur eine Woche nach Projektbeginn über 88.000 Codezeilen umfasste. Eine kompilierte Version wurde an VirusTotal übermittelt und markierte den Beginn der CPR-Forschung. CPR replizierte den Arbeitsablauf mithilfe der TRAE-IDE und stellte dem Modell Dokumentation und Spezifikationen zur Verfügung. Der vom Modell generierte Code ähnelt dem tatsächlichen Quellcode von VoidLink und entspricht den angegebenen Coderichtlinien, Funktionslisten und Akzeptanzkriterien. Diese schnelle Entwicklung, die nur minimale manuelle Tests und Spezifikationsverfeinerungen durch den Entwickler erforderte, ahmte die Ergebnisse mehrerer professioneller Teams in einem deutlich kürzeren Zeitrahmen nach. VoidLink zeigt, dass KI die Geschwindigkeit und den Umfang, mit dem ernsthafte Angriffsfähigkeiten erzeugt werden können, erheblich steigern kann, wenn sie von fähigen Entwicklern eingesetzt wird. Dadurch verschiebt sich die Grundlage für KI-gesteuerte Aktivitäten weg von weniger ausgefeilten Vorgängen und weniger erfahrenen Bedrohungsakteuren. CPR kam zu dem Schluss, dass VoidLink den Beginn einer Ära hochentwickelter KI-generierter Malware anzeigt. Obwohl es sich nicht um einen vollständig von der KI orchestrierten Angriff handelt, beweist er, dass KI erfahrenen einzelnen Bedrohungsakteuren oder Malware-Entwicklern dabei helfen kann, ausgefeilte, heimliche und stabile Malware-Frameworks zu erstellen, die denen von fortgeschrittenen Bedrohungsgruppen ähneln. CPR stellte fest, dass die Entwicklungsumgebung von VoidLink nur selten offengelegt wurde, was Fragen zu anderen hochentwickelten KI-basierten Malware-Frameworks ohne sichtbare Artefakte aufwirft.
