Des chercheurs en cybersécurité ont remonté la piste d’une nouvelle plateforme malveillante visant les environnements Linux. Baptisée VoidLink, cette boîte à outils sophistiquée est pensée pour infiltrer durablement des environnements cloud et s’adapter en fonction de l’infrastructure ciblée.

La découverte a été rendue publique le 13 janvier 2026 par les équipes de recherche de Check Point. Le nom de cette nouvelle menace ? VoidLink, qui n’est pas un simple malware isolé.

VoidLink regroupe une trentaine de modules que l’attaquant peut assembler à la carte en fonction de la machine compromise. Concrètement, plutôt que de déployer le même code partout, l’opérateur sélectionne, module par module, ce dont il a besoin : outils de furtivité, capacités de reconnaissance, mécanismes d’élévation de privilèges ou de mouvement latéral au sein du réseau.

Une approche bien connue dans le monde Windows, mais jusqu’ici beaucoup plus rare dans l’écosystème Linux.

La plateforme dispose d'une interface utilisateur comme un Saas classique // Source : CheckPoint Research
La plateforme dispose d’une interface utilisateur comme un SaaS classique. // Source : Check Point Research

Une conception tournée vers le cloud

Ce qui rend VoidLink particulièrement inquiétant, c’est sa compréhension des environnements dans lesquels il est injecté.

Bitdefender logo black
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

Le code est conçu pour détecter, via les API des fournisseurs, s’il s’exécute sur AWS, Google Cloud, Azure, Alibaba ou Tencent, mais aussi s’il tourne dans un conteneur Docker ou un pod Kubernetes.​

Cet audit lui permet d’ajuster automatiquement son comportement à l’environnement visé et de tenir informé l’utilisateur via l’interface. Les équipes de Check Point Research soulignent d’ailleurs qu’une fois en place, ses capacités sont « bien plus avancées que les malwares Linux classiques ».

VoidLink embarque un arsenal de techniques pour se cacher, durer et garder le contrôle de la machine compromise, en s’appuyant notamment sur des mécanismes de type rootkit pour dissimuler ses processus, et sur plusieurs canaux de commande et contrôle pour rester en contact avec ses opérateurs tout en brouillant les pistes.​

La veille de l’environnement se poursuit tout au long de l’intrusion. La plateforme recense les solutions de sécurité et calcule une sorte de « score de risque » pour adapter sa stratégie d’évasion en conséquence.

Dans un environnement jugé très surveillé, il peut par exemple ralentir ses scans de ports pour réduire les risques de détection.​

Menace en devenir plutôt qu’attaque massive

L’objectif final du caméléon est clair, la collecte d’informations sensibles : clés SSH, mots de passe, cookies, identifiants Git, jetons d’authentification, clés API, tout y passe.

Pour l’instant, aucune campagne massive s’appuyant sur VoidLink n’a été recensée. Les échantillons ont surtout été repérés dans des bases comme VirusTotal, ce qui laisse penser que la plateforme est encore en phase de développement ou de tests. Selon les chercheurs à l’origine de sa découverte, les développeurs prévoient déjà d’ajouter la détection de nouveaux fournisseurs comme Huawei, DigitalOcean ou Vultr à la plateforme.​

Un prototype avant un déploiement plus large, donc ? L’existence même d’un tel outil inquiète les experts, qui y voient le signe d’un recentrage des attaquants sur Linux, le cloud et les infrastructures conteneurisées, désormais au cœur de nombreux services critiques.

Le rapport précise que la documentation technique suggère que l’outil a été conçu et est maintenu par des développeurs affiliés à la Chine à des fins purement commerciales.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !