VoidLink offenbart tiefe Einblicke in KI-gestützte Malware-Entwicklung

Sicherheitsforscher haben mit "VoidLink" ein neuartiges Schadsoftware-Framework analysiert, das nach ihrer Einschätzung weitgehend mithilfe KI-Technologien entwickelt wurde und sich in erster Linie gegen Cloud-Instanzen richtet.

Ursprung in China

Das Linux-basierte Malware-Projekt richte sich insbesondere an Cloud-Umgebungen und zeichne sich durch einen hohen Grad an Modularität und technischer Raffinesse aus, hieß es seitens der Experten von Check Point Research, die die Analyse betrieben. Demnach umfasst das Framework maßgeschneiderte Loader, sogenannte Implants, Rootkit-Module zur Tarnung sowie Dutzende von Erweiterungen, mit denen sich der Funktionsumfang flexibel ausbauen lässt.

Schon in der ersten Analyse kamen die Forscher zu dem Schluss, dass hinter der Entwicklung vermutlich chinesische Akteure mit umfassenden Kenntnissen in mehreren Programmiersprachen stehen. In einem nun vorgelegten Folgebericht gehen die Sicherheitsforscher noch einen Schritt weiter. Sie sehen deutliche Hinweise darauf, dass VoidLink überwiegend durch einen KI-gestützten Entwicklungsprozess entstanden ist, und das in erstaunlich kurzer Zeit. Nach Einschätzung von Check Point erreichte das Projekt bereits innerhalb einer Woche eine lauffähige Version.


Grundlage dieser Erkenntnisse sind mehrere Sicherheitsfehler des Entwicklers. So war auf einem Server ein offen zugängliches Verzeichnis auffindbar, das Quellcode, interne Dokumentationen, Sprint-Pläne und Hinweise auf die Projektstruktur enthielt. Diese Daten ermöglichten den Forschern einen ungewöhnlich tiefen Einblick in die Entstehungsgeschichte der Malware.

Den Analysen zufolge begann die Entwicklung Ende November 2025. Der Entwickler nutzte dabei einen KI-Assistenten namens "TRAE SOLO", der in eine KI-orientierte Entwicklungsumgebung integriert ist. Zwar lagen den Forschern keine vollständigen Dialoge mit dem System vor, doch fanden sich auf dem Server zahlreiche von der KI erzeugte Hilfsdateien, die zentrale Anweisungen und Designvorgaben enthielten.

Schneller Fortschritt

Demnach wurde zunächst ein sogenannter "Spec-Driven Development"-Ansatz verfolgt: Ziele, Rahmenbedingungen und Architekturen wurden definiert und anschließend von der KI in detaillierte Entwicklungspläne übersetzt. Diese sahen eigentlich ein Projekt mit drei Teams und einer Laufzeit von bis zu 30 Wochen vor. Tatsächlich wuchs der Code jedoch binnen weniger Tage auf rund 88.000 Zeilen an.

Check Point konnte nach eigenen Angaben die beschriebenen Arbeitsabläufe nachvollziehen und reproduzieren. Die Übereinstimmung zwischen Planung und Code sei nahezu vollständig. Für die Forscher ist VoidLink damit das erste dokumentierte Beispiel einer hoch entwickelten Schadsoftware, die maßgeblich durch KI erzeugt wurde. Sie sehen darin ein Signal für eine neue Phase der Cyberkriminalität, in der Einzelpersonen mit entsprechendem Know-how Fähigkeiten erlangen, die bislang gut ausgestatteten Entwicklerteams vorbehalten waren.


Siehe auch: