未知の脅威グループUAT-9921が新型マルウェア「VoidLink」でテクノロジー・金融セクターを標的に

雑記

Cisco Talosの調査により、これまで知られていなかった脅威アクターUAT-9921が、「VoidLink」と呼ばれる新しいモジュラー型マルウェアフレームワークを使用して、テクノロジー企業や金融サービス企業を標的にした攻撃キャンペーンを展開していることが明らかになった。このグループは2019年から活動しているとみられ、Linuxを主なターゲットとした高度な攻撃基盤を構築している。

この記事のポイント

  • 未知の脅威グループUAT-9921が、Zig言語で開発されたモジュラー型Linuxマルウェア「VoidLink」を展開
  • VoidLinkはLLM(大規模言語モデル)との協業による「スペック駆動開発」で作成された疑いがある
  • 侵害済みシステムに導入される侵害後ツールとして機能し、EDR回避や永続化など高度な機能を備える

VoidLinkマルウェアの技術的特徴

VoidLinkは、Check Pointが2026年1月に初めて文書化した高度なモジュラー型Linuxマルウェアフレームワークである。最も注目すべき点は、その開発手法にある。報告によれば、単独の開発者が大規模言語モデル(LLM)と協力し、「スペック駆動開発」と呼ばれる手法で開発されたとされている。これはAIを活用したマルウェア開発の実例として、セキュリティ業界に大きな警鐘を鳴らすものだ。

技術的には、3つのプログラミング言語を使い分ける設計が特徴的である。メインのインプラント(埋め込みモジュール)にはZig言語、プラグイン開発にはC言語、バックエンドインフラにはGo言語が使用されている。さらに、オンデマンドでプラグインをコンパイルする機能を持ち、事前にビルドされたバイナリを必要とせず、多様なLinuxディストリビューションをターゲットにできる柔軟性を備えている。

攻撃手法と横展開

VoidLinkは侵害後ツール(ポストコンプロマイズツール)として機能する。すでに侵害されたシステムに導入され、持続的なC2(コマンド&コントロール)インフラを確立する役割を担う。攻撃者はこのC2サーバーを足がかりにして、内部および外部のネットワーク偵察活動を行う。

横展開(ラテラルムーブメント)においては、侵害したホスト上にSOCKSプロキシを展開し、オープンソースのスキャンツール「Fscan」などを活用して内部ネットワークの探索を行う。この手法により、初期侵入点から組織内の他のシステムへと攻撃範囲を拡大していく。

高度な検知回避と永続化

VoidLinkフレームワークには、広範なアンチ解析・アンチフォレンジック機能が組み込まれている。EDR(Endpoint Detection and Response)ソリューションを標的とした複数の回避技術を持ち、リアルタイムでEDR回避戦略を生成する能力を備えている。さらに、除去に対して耐性のあるホスト永続化メカニズムを実装しており、一度感染すると駆除が困難になる。

Windows版の亜種も存在する証拠があり、DLLサイドローディング技術を通じたプラグインロード機能を持つことが示唆されている。これにより、LinuxだけでなくWindows環境も攻撃対象となり得る。

組織構造とアクセス管理

VoidLinkの運用体制は、プロフェッショナルな開発組織を思わせる構造を持っている。ロールベースのアクセス制御(RBAC)が実装されており、SuperAdmin、Operator、Viewerの3つの権限階層が存在する。Talosのアナリストによれば、この組織構造はレッドチーム活動や高度に組織化された運用監視体制を示唆しているという。

さらに、このグループはカーネルモジュールのソースコードにアクセスできる能力を持ち、C2インフラから独立してインプラントと通信するためのツールを所有していることが判明している。これは内部通信プロトコルに関する包括的な知識を持っていることを意味する。

知っておくと便利なTips

  • VoidLinkの侵害事例は2025年9月まで遡ることが確認されており、Check Pointが最初に検知した2025年11月よりも大幅に早い段階で開発が始まっていたことを示している
  • Linuxサーバーを運用している場合、不審なZigバイナリやSOCKSプロキシの設置、Fscanの実行痕跡がないか確認することが推奨される
  • EDRソリューションの回避が確認されているため、ネットワークレベルでの異常検知(NDR)との多層防御が重要となる

まとめ

UAT-9921によるVoidLinkマルウェアキャンペーンは、現代のサイバー脅威の進化を象徴する事例である。LLMを活用したマルウェア開発、複数言語によるモジュラー設計、高度なEDR回避機能など、攻撃者の技術力は着実に向上している。テクノロジー企業や金融機関は、従来のエンドポイント防御だけでなく、ネットワーク監視や振る舞い検知を含む多層的なセキュリティ対策を講じる必要がある。特にLinuxサーバーを運用する組織は、このフレームワークの存在を認識し、適切な監視体制を構築することが急務である。

📎 元記事: https://thehackernews.com/2026/02/uat-9921-deploys-voidlink-malware-to.html

コメント

タイトルとURLをコピーしました