«Кожаные» больше не нужны (даже в киберкриминале). Встречайте VoidLink – вирус, который нейросеть написала по ГОСТу

Специалисты Check Point в новом отчете раскрыли подробности о VoidLink – вредоносной платформе, которая настолько зрелая и сложная, что её разработка, судя по найденным следам, велась почти полностью с помощью ИИ и, вероятно, под руководством одного человека.

Раньше «улики» использования ИИ в вирусах обычно выглядели скромнее. Речь шла либо о новичках, которые генерировали сырой код, либо о случаях, когда результат почти повторял функции уже известных опенсорсных инструментов. VoidLink, по оценке специалистов, стал первым хорошо задокументированным примером, где ИИ применили как ускоритель для действительно продвинутой разработки, с архитектурой, модулями и быстрыми итерациями как у полноценной команды.

Когда аналитики впервые наткнулись на VoidLink, их удивил уровень продуманности. В описании фигурируют технологии вроде eBPF, руткитов на базе LKM, отдельные модули для разведки облачной инфраструктуры и действий в контейнерных средах после взлома. По мере наблюдения проект менялся почти на глазах. Он быстро дорос от «рабочей сборки» до модульного фреймворка с выстроенным управлением и инфраструктурой командных серверов.

Ключевым поворотом стали ошибки самого разработчика. Из-за провалов в OPSEC наружу утекли внутренние материалы — документация, фрагменты исходников и компоненты проекта. Среди них оказался детальный план работ на десятки недель, расписанный как будто для трёх разных команд с отдельными задачами, спринтами и правилами кодинга. Снаружи это выглядело как история про хорошо финансируемую группу. Но по факту темпы развития, которые наблюдали исследователи, не совпадали с этим «долгосрочным» планом.

Дальше стало ещё интереснее. Артефакты указывали, что сам план и спецификации были сгенерированы языковой моделью и затем использованы как «чертёж» для разработки. В отчёт попали и следы стартовой постановки задачи, в том числе инструкции на китайском языке, которые оставил ИИ-помощник в среде TRAE, ориентированной на работу с агентными моделями. По версии исследователей, такой подход позволил довести идею до первого работоспособного импланта меньше чем за неделю. В качестве одной из контрольных точек упоминается артефакт от 4 декабря 2025 года. На тот момент VoidLink уже был функциональным, а объём проекта, по их данным, превысил 88 000 строк кода, и образец попал в VirusTotal.

Отдельно Check Point описывает метод, который, судя по всему, и дал такой разгон. Вместо того чтобы просить ИИ «написать код», разработчик сначала заставил модель подготовить подробные спецификации и план реализации по этапам, со списками требований и критериями приёмки. Затем эти документы использовались как инструкция к сборке, спринт за спринтом, с тестированием и быстрыми исправлениями. Аналитики утверждают, что воспроизвели похожий процесс и увидели, как при следовании этим спецификациям модель начинает выдавать код, похожий по структуре на оригинал.

ИИ снижает порог не только для простых атак, но и для сложных, которые раньше почти всегда требовали команды, времени и ресурсов. VoidLink, по мнению исследователей, показывает, как один опытный человек может быстро проектировать, собирать и дорабатывать вредоносную платформу, и это делает рынок угроз заметно опаснее. А самый неприятный вопрос остаётся без ответа. Этот кейс удалось раскрыть только потому, что разработчик оставил слишком много следов. Сколько таких проектов уже существует, но их история просто не утекла наружу.