新たな脅威アクター「UAT-9921」が企業セクターに対してVoidLinkを展開
Original Title: New threat actor UAT-9921 deploys VoidLink against enterprise sectors
Published (UTC): 2026-02-13T13:18:18+00:00
要旨(日本語)
– Cisco Talosは新たな脅威アクターUAT-9921がモジュール式フレームワークVoidLinkを用い、テクノロジーおよび金融業界を狙っていると報告。
– 活動は少なくとも2019年に遡る可能性があり、被害は9月から2026年1月まで継続して観測。
– VoidLinkはCheck Pointが最初に観測したLinux特化のモジュール型攻撃基盤で、単一ファイル系の系譜を保ちつつ「防衛請負業者級」の高度さに進化。
– 開発にはAI支援のコーディングツールが使われたとみられるが、運用自体はAI依存ではない;オンデマンドコンパイルは将来的なAI駆動のツール生成の布石。
– アーキテクチャはインプラントにZig、プラグインにC、バックエンドにGoを採用し、Linuxターゲット毎にプラグインをオンデマンド生成可能。
– 機能はC2確立、秘匿化、内外部スキャン、eBPF/LKMルートキット、コンテナエスケープ、権限昇格、クラウド認識、EDR回避など;Windows向けインプラントの存在示唆もあり。
– メッシュ型P2Pでインプラント同士がトラフィックを中継でき、監査機能とRBAC(SuperAdmin/Operator/Viewer)も備える。
– 侵入経路は盗用認証情報やJavaシリアライゼーション脆弱性(Apache Dubboなど)の悪用が中心。
– 侵害サーバにVoidLinkを設置してC2確立・活動隠蔽・ネットワークスキャンを実施;広範なスキャンから機会主義的な標的選定が推測され、中国語知識を有する可能性。
– 2022年以降に追跡されるManjusakaやAlchimistなど単一ファイル型フレームワークの流れの中で、VoidLinkは大きな前進を示す。
– AI支援のオンデマンド生成により、ラテラルムーブメントやデータ窃取の時間短縮、前例のないツールの生成、検知の困難化が進むリスクが指摘される。