Checkpoint-onderzoek onthuld over details met betrekking tot VoidLink, dat het heeft geïdentificeerd als het eerste gedocumenteerde geavanceerde malwareframework dat voornamelijk is geschreven door kunstmatige intelligentie (AI), wat een nieuw tijdperk van door AI gegenereerde malware aankondigt. Eerder werd bewijs van AI gegenereerd malware grotendeels geïndiceerd voor gebruik door onervaren dreigingsactoren of een weerspiegeling van bestaande open-sourcetools. VoidLink demonstreert echter het potentieel van AI in de handen van meer capabele ontwikkelaars. Operationele beveiligingsfouten (OPSEC) van de VoidLink-ontwikkelaar hebben interne ontwikkelingsartefacten blootgelegd, waaronder documentatie, broncode en projectcomponenten, wat erop wijst dat de malware binnen een week een functioneel implantaat heeft bereikt. Deze materialen leverden duidelijk bewijs van AI-gedreven ontwikkeling. De acteur maakte gebruik van een methodologie genaamd Spec Driven Development (SDD), waarbij hij een AI-model de opdracht gaf om een gestructureerd ontwikkelingsplan voor meerdere teams te genereren, compleet met sprintschema's en specificaties. Het model gebruikte deze documentatie vervolgens als blauwdruk om de malware end-to-end te implementeren, te herhalen en te testen. VoidLink vertoonde een hoog niveau van volwassenheid, functionaliteit, efficiënte architectuur en een dynamisch bedieningsmodel, waarbij gebruik werd gemaakt van technologieën zoals eBPF- en LKM-rootkits, naast speciale modules voor cloudopsomming en post-exploitatie in containeromgevingen. CPR observeerde dat de malware snel evolueerde van een functionele ontwikkelingsomgeving naar een alomvattend, modulair raamwerk met extra componenten en een command-and-control-infrastructuur. De ontwikkelingsartefacten omvatten planningsdocumentatie voor drie verschillende interne “teams” gedurende meer dan 30 weken geplande ontwikkeling. CPR constateerde een discrepantie tussen de gedocumenteerde sprinttijdlijn en de waargenomen snelle uitbreiding van de mogelijkheden van de malware. Uit onderzoek bleek dat het ontwikkelingsplan zelf werd gegenereerd en georkestreerd door een AI-model, dat waarschijnlijk werd gebruikt als blauwdruk voor het bouwen, uitvoeren en testen van het raamwerk. Door AI geproduceerde documentatie, die grondig was en een tijdstempel had, liet zien dat één enkel individu AI gebruikte om VoidLink in minder dan zeven dagen van concept naar een evoluerende realiteit te brengen. De ontwikkeling van VoidLink begon waarschijnlijk eind november 2025 met behulp van TRAE SOLO, een AI-assistent binnen een AI-centrische IDE genaamd TRAE. Door TRAE gegenereerde helperbestanden, die belangrijke delen van de oorspronkelijke richtlijnen behielden, werden onbedoeld openbaar gemaakt vanwege een open map op de server van de bedreiging. Deze bestanden bevatten Chineestalige instructiedocumenten met richtlijnen zoals:
- Objectief: Instrueerde het model om geen vijandige technieken te implementeren of technische details te verstrekken, waardoor de veiligheidsbeperkingen waarschijnlijk zouden worden omzeild.
- Materiële aanschaf: Het model heeft opdracht gegeven om te verwijzen naar een bestaand bestand, “c2架构.txt”, dat de zaadarchitectuur voor het C2-platform bevat.
- Architectuurverdeling: Ontbonden initiële invoer in discrete componenten.
- Risico en compliance: Het werk wordt ingekaderd in termen van juridische grenzen, mogelijk om het model in de richting van tolerante reacties te sturen.
- Toewijzing van coderepository: Aangegeven dat VoidLink is opgestart vanuit een bestaande minimale codebasis en vervolgens is herschreven.
- Resultaten: Een architectuursamenvatting, risico/complianceoverzicht en een technische roadmap opgevraagd.
- Volgende stappen: Bevestiging van de agent om door te gaan na het verstrekken van het TXT-bestand.
De initiële roadmap bevatte een sprintplan van 20 weken voor een Core Team (Zig), een Arsenal Team (C) en een Backend Team (Go), inclusief begeleidende bestanden voor diepgaande sprintdocumentatie en speciale standaardisatiebestanden die coderingsconventies voorschrijven. CPR's beoordeling van deze codestandaardisatie-instructies aan de hand van de herstelde VoidLink-broncode bracht een hoge mate van afstemming in conventies, structuur en implementatiepatronen aan het licht. Ondanks dat het werd gepresenteerd als een technische inspanning van 30 weken, gaf een teruggevonden testartefact van 4 december 2025 aan dat VoidLink functioneel was en slechts één week na de start van het project meer dan 88.000 regels code bevatte. Een gecompileerde versie werd ingediend bij VirusTotal en markeerde de start van het onderzoek van CPR. CPR repliceerde de workflow met behulp van de TRAE IDE en voorzag het model van documentatie en specificaties. Het model genereerde code die leek op de daadwerkelijke broncode van VoidLink, in lijn met gespecificeerde coderichtlijnen, functielijsten en acceptatiecriteria. Deze snelle ontwikkeling, die minimale handmatige tests en specificatieverfijningen door de ontwikkelaar vereiste, emuleerde de output van meerdere professionele teams in een aanzienlijk korter tijdsbestek. VoidLink laat zien dat AI de snelheid en schaal waarop serieuze offensieve capaciteiten kunnen worden geproduceerd aanzienlijk kan vergroten wanneer deze worden gebruikt door capabele ontwikkelaars. Dit verschuift de basis voor AI-gestuurde activiteiten weg van minder geavanceerde operaties en minder ervaren dreigingsactoren. CPR concludeerde dat VoidLink het begin aangeeft van een tijdperk van geavanceerde, door AI gegenereerde malware. Hoewel het geen volledig door AI georkestreerde aanval is, bewijst het wel dat AI ervaren individuele dreigingsactoren of malware-ontwikkelaars kan faciliteren bij het creëren van geavanceerde, heimelijke en stabiele malwareframeworks die lijken op die van geavanceerde dreigingsgroepen. CPR merkte op dat de blootstelling van de ontwikkelomgeving van VoidLink zeldzaam was, wat vragen opriep over andere geavanceerde, door AI gebouwde malwareframeworks zonder zichtbare artefacten.
