VoidLink: Neue Super-Schadsoftware bedroht Cloud-Infrastruktur

Eine hochgefährliche Schadsoftware zielt gezielt auf Linux-Clouds bei AWS, Google und Microsoft. Das als VoidLink identifizierte Framework markiert eine neue Ära der Cyber-Bedrohung.

Forscher von Check Point Research haben diese Woche einen beunruhigenden Fund gemacht. VoidLink ist keine angepasste Altlast, sondern von Grund auf für den Angriff auf moderne Cloud-Infrastrukturen konstruiert. Die Malware erkennt selbstständig, ob sie in einem Docker-Container, einem Kubernetes-Pod oder einer Cloud-VM läuft – und passt ihr Verhalten an. Ein klarer Beleg dafür, dass Angreifer nun massiv die Linux-Server ins Visier nehmen, auf denen der Großteil der globalen Digitalwirtschaft läuft.

Was VoidLink so besonders macht, ist seine tiefe Integration in die Cloud-Welt. Die Software identifiziert automatisch, ob sie auf AWS, Google Cloud, Microsoft Azure, Alibaba oder Tencent Cloud läuft. Anschließend nutzt sie die Management-APIs der Plattformen, um Metadaten und Zugangsdaten abzugreifen.

Passend zum Thema Cloud-Sicherheit: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, zeigen aktuelle Studien. Das kostenlose E-Book “Cyber Security Awareness Trends” erklärt, welche Angriffsvektoren Kriminelle gegen Cloud-Infrastrukturen nutzen (inklusive Angriffe auf Container und Entwickler-Tools) und welche pragmatischen Maßnahmen Sie sofort umsetzen sollten – von Runtime-Schutz für containerisierte Workloads bis zu Zero-Trust- und Identity-Management-Praktiken. Inklusive praxisnaher Checklisten und Prioritätenlisten für IT-Verantwortliche. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Die Tarnmechanismen sind ausgeklügelt: VoidLink berechnet ein „Risiko-Score“ für die infizierte Umgebung, indem es nach Sicherheitstools sucht. Je nach Ergebnis wählt es eine Taktik – verlangsamt Port-Scans oder verschlüsselt seinen Code im Arbeitsspeicher. Wird es gestört, löscht es sich selbst und verwischt alle Spuren. Eine forensische Analyse wird damit extrem erschwert.

Die Wahl der Programmiersprache Zig ist ungewöhnlich und verrät professionelle Entwickler. Zig bietet Performance und Kontrolle auf niedrigster Ebene – die Malware wird schneller und schwerer zu analysieren. VoidLink funktioniert ähnlich wie das berüchtigte Cobalt Strike-Framework und nutzt über 30 Plugins. Diese Module ermöglichen Echtzeit-Anpassungen:

• Diebstahl von Zugangsdaten aus Cloud-Umgebungen und Quellcode-Repositories wie Git.
• Rootkit-Funktionen, die bösartige Prozesse mittels Kernel-Techniken verstecken.
• Werkzeuge für laterale Bewegung, um aus Containern auszubrechen und sich im Netzwerk zu verbreiten.

Gesteuert wird das Ganze über ein poliertes Web-Dashboard mit chinesischer Sprachversion. Die Spur deutet auf mutmaßlich chinesischsprachige Akteure hin. Debug-Symbole im Code legen nahe, dass die Entwicklung noch nicht abgeschlossen ist.

Die Entdeckung von VoidLink rüttelt am Mythos der inherenten Linux-Sicherheit. Da Unternehmen zunehmend auf containerisierte und cloud-native Infrastrukturen setzen, werden sie zu lukrativen Zielen für Spionage und Datendiebstahl.

Besonders riskant: Der Fokus auf die Ausspähung von Entwickler-Tools wie Git. Könnten Angreifer die Umgebung von Software-Ingenieuren kompromittieren, bestünde die Gefahr, bösartigen Code in legitime Produkte einzuschleusen – ein massives Supply-Chain-Risiko. Herkömmliche Firewalls stehen vor großen Herausforderungen, da VoidLink sich in legitimen Datenverkehr tarnt, etwa via DNS-Tunneling oder versteckten Daten in Bilddateien.

Obwohl noch keine aktiven Infektionen bekannt sind, ist VoidLink ein Weckruf. Die Entwickler planen offenbar bereits die Unterstützung weiterer Cloud-Anbieter wie Huawei Cloud oder DigitalOcean.

Sicherheitsverantwortliche sollten jetzt handeln: Der Runtime-Schutz für containerisierte Workloads muss Priorität haben. Die Überwachung von Cloud-Management-APIs muss rigoros verschärft werden. Da sich VoidLink mit gültigen Zugangsdaten bewegt, ist striktes Identity-Management und das Prinzip der geringsten Rechte (Least Privilege) in Cloud-Zugriffspolitiken unabdingbar.

Frameworks wie VoidLink zeigen: Die nächste Generation Cyber-Bedrohungen ist durch ihre Anpassungsfähigkeit und tiefe Verwurzelung in den Cloud-Ökosystemen definiert. Die Grenze zwischen kommerziellen Penetration-Testing-Tools und cyberkrimineller Waffe verschwimmt zunehmend. Die Cloud-Sicherheit muss mit dieser Entwicklung Schritt halten.

PS: Sie möchten Ihre Cloud-Infrastruktur konkret gegen Bedrohungen wie VoidLink absichern? Der Gratis-Report “Cyber Security Awareness Trends” fasst aktuelle Angriffsformen, relevante gesetzliche Entwicklungen und sofort umsetzbare Schutzmaßnahmen kompakt zusammen. Der Leitfaden bietet eine Prioritätenliste für Mittelstand und IT-Teams, Monitoring-Empfehlungen für Cloud-Management-APIs sowie Handlungstipps für Container- und Entwickler-Tool-Sicherheit. Kostenlosen Cyber-Security-Report anfordern