Pesquisa de ponto de verificação divulgado sobre detalhes sobre o VoidLink, que identificou como a primeira estrutura de malware avançada documentada predominantemente de autoria de inteligência artificial (IA), sinalizando uma nova era de malware gerado por IA. Anteriormente, evidências de malware indicaram amplamente o uso por agentes de ameaças inexperientes ou espelharam ferramentas de código aberto existentes. O VoidLink, no entanto, demonstra o potencial da IA nas mãos de desenvolvedores mais capazes. Falhas de segurança operacional (OPSEC) do desenvolvedor VoidLink expuseram artefatos internos de desenvolvimento, incluindo documentação, código-fonte e componentes do projeto, indicando que o malware atingiu um implante funcional em menos de uma semana. Esses materiais forneceram evidências claras do desenvolvimento impulsionado pela IA. O ator utilizou uma metodologia chamada Spec Driven Development (SDD), encarregando um modelo de IA de gerar um plano de desenvolvimento estruturado para várias equipes, completo com cronogramas e especificações de sprint. O modelo então usou essa documentação como um modelo para implementar, iterar e testar o malware de ponta a ponta. VoidLink exibiu um alto nível de maturidade, funcionalidade, arquitetura eficiente e modelo operacional dinâmico, empregando tecnologias como rootkits eBPF e LKM, juntamente com módulos dedicados para enumeração de nuvem e pós-exploração em ambientes de contêiner. A CPR observou que o malware evoluiu rapidamente de um desenvolvimento funcional para uma estrutura modular e abrangente com componentes adicionais e infraestrutura de comando e controle. Os artefatos de desenvolvimento incluíam documentação de planejamento para três “equipes” internas distintas ao longo de mais de 30 semanas de desenvolvimento planejado. O CPR notou uma discrepância entre o cronograma documentado do sprint e a rápida expansão observada das capacidades do malware. A investigação revelou que o próprio plano de desenvolvimento foi gerado e orquestrado por um modelo de IA, provavelmente usado como modelo para construir, executar e testar a estrutura. A documentação produzida pela IA, sendo completa e com registro de data e hora, mostrou que um único indivíduo aproveitou a IA para conduzir o VoidLink do conceito a uma realidade em evolução em menos de sete dias. O desenvolvimento do VoidLink provavelmente começou no final de novembro de 2025 usando TRAE SOLO, um assistente de IA dentro de um IDE centrado em IA chamado TRAE. Os arquivos auxiliares gerados pelo TRAE, preservando partes importantes das diretivas originais, foram expostos inadvertidamente devido a um diretório aberto no servidor do agente da ameaça. Esses arquivos incluíam documentos de instrução em chinês descrevendo diretivas como:
- Objetivo: Instruiu o modelo a não implementar técnicas adversárias ou fornecer detalhes técnicos, provavelmente para contornar as restrições de segurança.
- Aquisição de materiais: Direcionou o modelo para fazer referência a um arquivo existente, “c2架构.txt”, contendo arquitetura inicial para a plataforma C2.
- Análise da arquitetura: Entrada inicial decomposta em componentes discretos.
- Risco e conformidade: Trabalho enquadrado em termos de limites legais, potencialmente para orientar o modelo em direção a respostas permissivas.
- Mapeamento do repositório de código: O VoidLink indicado foi inicializado a partir de uma base de código mínima existente posteriormente reescrita.
- Entregáveis: Solicitou um resumo da arquitetura, uma visão geral de risco/conformidade e um roteiro técnico.
- Próximas etapas: Confirmação do agente para prosseguir após o fornecimento do arquivo TXT.
O roteiro inicial detalhava um plano de sprint de 20 semanas para uma equipe principal (Zig), uma equipe Arsenal (C) e uma equipe backend (Go), incluindo arquivos complementares para documentação detalhada do sprint e arquivos de padronização dedicados que prescrevem convenções de codificação. A revisão dessas instruções de padronização de código pelo CPR em relação ao código-fonte recuperado do VoidLink revelou um alto alinhamento nas convenções, estrutura e padrões de implementação. Apesar de ter sido apresentado como um esforço de engenharia de 30 semanas, um artefato de teste recuperado datado de 4 de dezembro de 2025 indicava que o VoidLink estava funcional e continha mais de 88.000 linhas de código apenas uma semana após o início do projeto. Uma versão compilada foi submetida ao VirusTotal, marcando o início da pesquisa do CPR. A CPR replicou o fluxo de trabalho usando o TRAE IDE, fornecendo documentação e especificações ao modelo. O modelo gerou código semelhante ao código-fonte real do VoidLink, alinhado com diretrizes de código, listas de recursos e critérios de aceitação especificados. Esse rápido desenvolvimento, exigindo testes manuais mínimos e refinamentos de especificações por parte do desenvolvedor, emulou o resultado de diversas equipes profissionais em um período de tempo significativamente mais curto. VoidLink demonstra que a IA pode amplificar materialmente a velocidade e a escala em que capacidade ofensiva séria pode ser produzida quando exercida por desenvolvedores competentes. Isso muda a base para atividades orientadas por IA, afastando-as de operações de menor sofisticação e de atores de ameaças menos experientes. O CPR concluiu que o VoidLink indica o início de uma era de malware sofisticado gerado por IA. Embora não seja um ataque totalmente orquestrado por IA, ele prova que a IA pode facilitar agentes de ameaças individuais experientes ou desenvolvedores de malware na criação de estruturas de malware sofisticadas, furtivas e estáveis, semelhantes às de grupos de ameaças avançadas. A CPR observou que a exposição do ambiente de desenvolvimento do VoidLink era rara, levantando questões sobre outras estruturas sofisticadas de malware construídas por IA sem artefatos visíveis.
