Un nuevo y técnicamente avanzado rootkit llamado VoidLink ha surgido como una grave amenaza para los sistemas Linux, combinando Módulos de Kernel Cargables (LKM) con programas extended Berkeley Packet Filter (eBPF) para ocultarse profundamente en el núcleo del sistema operativo. Documentado por primera vez por Check Point Research en enero de 2026, VoidLink es un marco de malware para Linux en la nube escrito en Zig.

Un nuevo y técnicamente avanzado rootkit llamado VoidLink ha surgido como una grave amenaza para los sistemas Linux, combinando Módulos de Kernel Cargables (LKM) con programas extended Berkeley Packet Filter (eBPF) para ocultarse en lo más profundo del núcleo del sistema operativo.

Documentado por primera vez por Check Point Research en enero de 2026, VoidLink es un marco de malware para Linux en la nube escrito en Zig.

Presenta una estructura modular de comando y control con más de 30 plugins y múltiples capas de sigilo, lo que lo convierte en uno de los rootkits para Linux más capaces vistos en los últimos años.

Lo que hace que VoidLink sea alarmante es la rapidez con la que fue construido. Check Point Research descubrió que un solo desarrollador produjo el marco completo mediante flujos de trabajo asistidos por IA utilizando el entorno de desarrollo integrado TRAE, pasando de la concepción a un implante funcional en menos de una semana.

El rootkit se disfraza bajo el nombre de módulo vl_stealth, o en algunas variantes amd_mem_encrypt, suplantando a un controlador de memoria AMD legítimo para evitar levantar sospechas en servidores en la nube.

Los analistas de Elastic Security Labs identificaron la arquitectura más profunda del malware después de obtener un volcado de datos que contenía el código fuente de VoidLink, binarios compilados y scripts de implementación.

Los investigadores señalaron que el volcado reveló un marco de rootkit multigeneracional desarrollado y probado en sistemas reales desde CentOS 7 hasta Ubuntu 22.04.

Todos los archivos fuente estaban anotados en chino simplificado, y las referencias de infraestructura apuntaban a direcciones IP de Alibaba Cloud — 8.149.128[.]10 y 116.62.172[.]147 — vinculando firmemente la operación a un actor de amenazas de habla china.

El impacto del rootkit es significativo. VoidLink oculta procesos en ejecución, conexiones de red y archivos de los administradores mientras recibe comandos a través de un canal encubierto ICMP sin puertos visibles ni tráfico.

Su variante más reciente, denominada Ultimate Stealth v5, introduce instalación de hooks retardada, temporizadores anti-depuración, protección contra la terminación de procesos y nombres de módulos ofuscados con XOR, lo que dificulta extremadamente la investigación forense.

VoidLink no es una herramienta independiente. Su script de cargador de arranque, load_lkm.sh, escanea implantes sin archivos que se ejecutan desde descriptores de archivos de memoria anónimos y los oculta al activarse, confirmando que VoidLink está diseñado para proteger un implante compañero — probablemente un reverse shell — ya en ejecución en el objetivo comprometido.

Un sistema de ocultación de dos capas

La característica técnicamente más llamativa de VoidLink es su diseño híbrido, que divide las tareas entre dos componentes distintos.

La mayoría de los rootkits para Linux dependen de un único método de ocultación: un LKM, un programa eBPF o una biblioteca compartida inyectada. VoidLink despliega ambos simultáneamente, con cada componente manejando el rol que realiza de manera más confiable.

Utilizando el marco de trazado de funciones del kernel de Linux, el componente LKM engancha llamadas al sistema, intercepta listados de directorios getdents64 para ocultar archivos y procesos, y filtra la salida de /proc/modules y /proc/kallsyms para borrar sus propios rastros.

También ejecuta un canal de comandos encubierto a través de hooks de Netfilter, procesando silenciosamente instrucciones del operador cifradas con XOR ocultas dentro de paquetes ping ordinarios sin generar respuesta.

El componente eBPF cubre una brecha que el LKM no puede alcanzar: ocultar conexiones activas del comando ss. A diferencia de netstat, que lee desde /proc/net/tcp, la utilidad ss consulta el kernel a través de sockets Netlink — una ruta de datos fuera del control del LKM.

El programa eBPF de VoidLink engancha __sys_recvmsg y modifica las respuestas de Netlink en la memoria del espacio de usuario. En lugar de eliminar las entradas ocultas — lo que corrompería la cadena de mensajes — las "traga" extendiendo el campo de longitud del mensaje anterior, haciendo que el analizador de ss omita la conexión oculta como relleno.

Este enfoque requirió una verdadera iteración para desarrollarse. Los desarrolladores trabajaron en al menos 10 versiones del programa eBPF — desde hide_ss_v1.bpf.c hasta hide_ss_v9.bpf.c — antes de que surgiera este método estable, demostrando ciclos de prueba reales en sistemas en vivo.

Los equipos de seguridad deben tomar varias medidas para limitar la exposición a rootkits como VoidLink. Aplicar Secure Boot y la firma de módulos del kernel bloquea la carga de LKMs no autorizados.

Habilitar el modo de bloqueo del kernel, disponible desde Linux 5.4, restringe operaciones sensibles del kernel incluso para usuarios root. Auditar las llamadas al sistema init_module y finit_module mediante Auditd revela actividad inesperada de módulos de manera temprana.

Restringir la llamada al sistema bpf() a través de perfiles seccomp y habilitar kernel.unprivileged_bpf_disabled reduce el riesgo de abuso de eBPF. Cruzar regularmente referencias de ps, ss y entradas directas del directorio /proc puede exponer actividad oculta incluso cuando herramientas individuales de monitoreo no reportan nada sospechoso.