Domenica 05 Luglio 2026 21:15:11 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

AI Security & Agentic Systems

Ombre nel Kernel: come il rootkit costruito dall’IA di VoidLink aggira le difese di Linux

Pubblicato: 27 Marzo 2026 15:36Categoria: AI Security & Agentic SystemsArea: AsiaAutore: LOGICFALCON

Sottotitolo: Una nuova razza di rootkit Linux, VoidLink, sfrutta l’IA e un’astuzia ibrida nel kernel per eludere la sicurezza cloud più dura al mondo.

È iniziato con una normale revisione dei log in una server farm cloud-poi, un sospetto modulo del kernel, camuffato da innocuo componente AMD, ha trascinato i team di sicurezza in una tana del Bianconiglio. Ciò che hanno scoperto è stato VoidLink: un rootkit Linux così avanzato da sfumare il confine tra ingegno umano e intelligenza artificiale. Mentre gli avversari informatici si affidano al machine learning e a tattiche cloud-native, persino i sistemi più corazzati si ritrovano ad arrancare per stare al passo.

Dentro VoidLink: anatomia di un rootkit moderno

Quando Check Point Research ha documentato per la prima volta VoidLink, il mondo della cybersecurity ha drizzato le antenne. A differenza dei rootkit tradizionali, che si affidano a un unico metodo per nascondersi da occhi indiscreti, VoidLink impiega una rara architettura ibrida. Al suo cuore, un Loadable Kernel Module (LKM) manipola gli strati più profondi del kernel Linux-agganciando le system call, occultando attività malevole e gestendo canali di comando e controllo clandestini. Ma la vera innovazione di VoidLink risiede nell’uso dell’Extended Berkeley Packet Filter (eBPF), una moderna funzionalità Linux progettata per il monitoraggio e il tracing di rete ad alte prestazioni.

Questo approccio a doppio binario consente a VoidLink di fondersi senza soluzione di continuità negli ambienti cloud. Adottando nomi come “amd_mem_encrypt”, il malware si presenta come un modulo AMD legittimo, superando audit superficiali. Il suo canale di comando e controllo opera interamente su pacchetti ICMP-messaggi di rete tipicamente ignorati dai firewall-senza lasciare porte aperte o log sospetti al suo passaggio.

La sofisticazione non si ferma ai suoi trucchi tecnici. I team forensi hanno scoperto che la codebase di VoidLink è stata realizzata usando un ambiente di sviluppo potenziato dall’IA chiamato TRAE. Nel giro di una settimana, l’attore della minaccia ha trasformato concetti di base in un rootkit pienamente funzionale e modulare-completo di commenti in stile tutorial, note di refactoring per fasi e una formattazione che ricorda i grandi modelli linguistici. Questa collaborazione tra IA e umano abbassa la barriera per i cybercriminali: all’improvviso, attori meno esperti possono costruire malware di livello mondiale in tempi record.

Eppure, i creatori di VoidLink non hanno lasciato tutto alle macchine. La presenza di infrastruttura attiva su Alibaba Cloud e di binari adattati a specifici kernel Linux indica test e distribuzione accurati, svolti direttamente a mano.

Manuale difensivo: VoidLink può essere fermato?

Gli esperti di sicurezza avvertono che nessuna singola soluzione può intercettare VoidLink. Le difese più efficaci combinano Secure Boot, la modalità di lockdown del kernel Linux e un monitoraggio robusto con Auditd per individuare caricamenti sospetti di moduli. Ispezionare l’attività eBPF-soprattutto gli hook su funzioni sensibili come __sys_recvmsg-può rivelare manipolazioni di rete furtive. In definitiva, l’analisi comportamentale e il confronto incrociato delle anomalie offrono la migliore possibilità di smascherare questa minaccia guidata dall’IA.

Nell’era dell’IA e degli attacchi cloud-native, VoidLink è un presagio: il cybercrimine di domani sarà scritto sia dall’uomo sia dalla macchina, e solo i difensori più adattabili sopravvivranno.

WIKICROOK

  • Rootkit: Un rootkit è un malware furtivo che si nasconde su un dispositivo, consentendo agli attaccanti di controllare segretamente il sistema ed eludere il rilevamento.
  • Loadable Kernel Module (LKM): Un modulo del kernel caricabile (LKM) è codice aggiunto al kernel Linux in fase di esecuzione, che abilita nuove funzionalità o supporto hardware senza riavviare.
  • eBPF (Extended Berkeley Packet Filter): eBPF consente ai programmi di essere eseguiti in modo sicuro all’interno del kernel Linux, permettendo monitoraggio e sicurezza avanzati-ma può anche essere sfruttato per nascondere malware.
  • ICMP (Internet Control Message Protocol): ICMP è un protocollo di rete usato per messaggi diagnostici e di controllo, utile per la risoluzione dei problemi ma talvolta abusato per cyberattacchi o comunicazioni clandestine.
  • Secure Boot: Secure Boot è una funzionalità di sicurezza che verifica l’integrità del software all’avvio, bloccando l’esecuzione di codice non autorizzato o manomesso sul dispositivo.