Recherche sur les points de contrôle divulgué sur les détails concernant VoidLink, qu'il a identifié comme le premier cadre de malware avancé documenté principalement créé par l'intelligence artificielle (IA), signalant une nouvelle ère de malware générés par l'IA. Auparavant, les preuves de l'IA générée malware une utilisation largement indiquée par des auteurs de menaces inexpérimentés ou reflétant des outils open source existants. VoidLink, cependant, démontre le potentiel de l'IA entre les mains de développeurs plus compétents. Les échecs de sécurité opérationnelle (OPSEC) du développeur de VoidLink ont exposé des artefacts de développement internes, notamment la documentation, le code source et les composants du projet, indiquant que le logiciel malveillant a atteint un implant fonctionnel en moins d'une semaine. Ces documents ont fourni des preuves claires d’un développement piloté par l’IA. L'acteur a utilisé une méthodologie baptisée Spec Driven Development (SDD), chargeant un modèle d'IA de générer un plan de développement structuré et multi-équipes complet avec des calendriers et des spécifications de sprint. Le modèle a ensuite utilisé cette documentation comme modèle pour implémenter, itérer et tester le malware de bout en bout. VoidLink a présenté un haut niveau de maturité, de fonctionnalité, d'architecture efficace et de modèle opérationnel dynamique, utilisant des technologies telles que les rootkits eBPF et LKM, ainsi que des modules dédiés à l'énumération cloud et à la post-exploitation dans des environnements de conteneurs. CPR a observé que le malware évolue rapidement d'un développement fonctionnel vers un cadre complet et modulaire avec des composants supplémentaires et une infrastructure de commande et de contrôle. Les artefacts de développement comprenaient la documentation de planification pour trois « équipes » internes distinctes sur plus de 30 semaines de développement planifié. CPR a noté un écart entre le calendrier de sprint documenté et l'expansion rapide observée des capacités du logiciel malveillant. L'enquête a révélé que le plan de développement lui-même avait été généré et orchestré par un modèle d'IA, probablement utilisé comme modèle pour la création, l'exécution et le test du framework. La documentation produite par l'IA, complète et horodatée, a montré qu'un seul individu a exploité l'IA pour faire passer VoidLink du concept à une réalité évolutive en moins de sept jours. Le développement de VoidLink a probablement commencé fin novembre 2025 à l'aide de TRAE SOLO, un assistant d'IA au sein d'un IDE centré sur l'IA appelé TRAE. Les fichiers d'assistance générés par TRAE, préservant des parties clés des directives d'origine, ont été exposés par inadvertance en raison d'un répertoire ouvert sur le serveur de l'acteur malveillant. Ces fichiers comprenaient des documents d'instructions en chinois décrivant des directives telles que :
- Objectif: A demandé au modèle de ne pas mettre en œuvre de techniques contradictoires ni de fournir de détails techniques susceptibles de contourner les contraintes de sécurité.
- Acquisition de matériel : Demander au modèle de référencer un fichier existant, « c2架构.txt », contenant l'architecture de départ pour la plate-forme C2.
- Décomposition de l'architecture : Entrée initiale décomposée en composants discrets.
- Risque et conformité : Travail encadré en termes de frontières juridiques, potentiellement pour orienter le modèle vers des réponses permissives.
- Mappage du référentiel de code : Indiqué, VoidLink a été démarré à partir d'une base de code minimale existante réécrite par la suite.
- Livrables : J'ai demandé un résumé de l'architecture, un aperçu des risques/conformité et une feuille de route technique.
- Prochaines étapes : Confirmation de l'agent pour procéder dès fourniture du fichier TXT.
La feuille de route initiale détaillait un plan de sprint de 20 semaines pour une équipe principale (Zig), une équipe Arsenal (C) et une équipe Backend (Go), y compris des fichiers d'accompagnement pour une documentation approfondie du sprint et des fichiers de standardisation dédiés prescrivant les conventions de codage. L'examen par CPR de ces instructions de normalisation du code par rapport au code source VoidLink récupéré a révélé un alignement élevé des conventions, de la structure et des modèles de mise en œuvre. Bien qu'il ait été présenté comme un effort d'ingénierie de 30 semaines, un artefact de test récupéré daté du 4 décembre 2025 indiquait que VoidLink était fonctionnel et comprenait plus de 88 000 lignes de code une semaine seulement après le lancement du projet. Une version compilée a été soumise à VirusTotal, marquant le début des recherches du CPR. CPR a répliqué le flux de travail à l'aide de l'IDE TRAE, en fournissant au modèle une documentation et des spécifications. Le modèle a généré un code ressemblant au code source réel de VoidLink, s'alignant sur les directives de code spécifiées, les listes de fonctionnalités et les critères d'acceptation. Ce développement rapide, nécessitant un minimum de tests manuels et d'améliorations des spécifications de la part du développeur, a imité les résultats de plusieurs équipes professionnelles dans un délai nettement plus court. VoidLink démontre que l’IA peut sensiblement amplifier la vitesse et l’échelle auxquelles des capacités offensives sérieuses peuvent être produites lorsqu’elles sont utilisées par des développeurs compétents. Cela éloigne la base des activités basées sur l’IA des opérations moins sophistiquées et des acteurs malveillants moins expérimentés. CPR a conclu que VoidLink indique le début d’une ère de logiciels malveillants sophistiqués générés par l’IA. Bien qu’il ne s’agisse pas d’une attaque entièrement orchestrée par l’IA, elle prouve que l’IA peut aider les acteurs individuels expérimentés de la menace ou les développeurs de logiciels malveillants à créer des cadres de logiciels malveillants sophistiqués, furtifs et stables, semblables à ceux des groupes de menaces avancés. CPR a noté que l'exposition de l'environnement de développement de VoidLink était rare, soulevant des questions sur d'autres cadres de logiciels malveillants sophistiqués créés par l'IA et sans artefacts visibles.
