Badania punktów kontrolnych ujawnione o szczegółach dotyczących VoidLink, które uznano za pierwszą udokumentowaną platformę dla zaawansowanego złośliwego oprogramowania, której autorem jest głównie sztuczna inteligencja (AI), sygnalizując nową erę złośliwego oprogramowania generowanego przez sztuczną inteligencję. Wcześniej dowody generowane przez sztuczną inteligencję złośliwe oprogramowanie w dużej mierze wskazywały na użycie przez niedoświadczonych cyberprzestępców lub odzwierciedlały istniejące narzędzia typu open source. VoidLink pokazuje jednak potencjał sztucznej inteligencji w rękach bardziej zdolnych programistów. Awarie zabezpieczeń operacyjnych (OPSEC) twórcy VoidLink odsłoniły wewnętrzne artefakty programistyczne, w tym dokumentację, kod źródłowy i komponenty projektu, co wskazuje, że złośliwe oprogramowanie osiągnęło funkcjonalny implant w niecały tydzień. Materiały te dostarczyły wyraźnych dowodów na rozwój oparty na sztucznej inteligencji. Aktor zastosował metodologię zwaną Spec Driven Development (SDD), zlecając modelowi sztucznej inteligencji wygenerowanie ustrukturyzowanego planu rozwoju obejmującego wiele zespołów, wraz z harmonogramami i specyfikacjami sprintów. Następnie model wykorzystał tę dokumentację jako plan wdrożenia, iteracji i kompleksowego testowania szkodliwego oprogramowania. VoidLink wykazał się wysokim poziomem dojrzałości, funkcjonalności, wydajną architekturą i dynamicznym modelem operacyjnym, wykorzystując technologie takie jak rootkity eBPF i LKM, a także dedykowane moduły do wyliczania chmur i post-eksploatacji w środowiskach kontenerowych. CPR zaobserwowało, że złośliwe oprogramowanie szybko ewoluuje od wersji funkcjonalnej do wszechstronnej, modułowej struktury z dodatkowymi komponentami i infrastrukturą dowodzenia i kontroli. Artefakty rozwojowe obejmowały dokumentację planowania dla trzech odrębnych wewnętrznych „zespołów” obejmującą ponad 30 tygodni planowanego rozwoju. CPR zauważyło rozbieżność pomiędzy udokumentowanym harmonogramem sprintu a obserwowanym szybkim rozwojem możliwości szkodliwego oprogramowania. Dochodzenie wykazało, że sam plan rozwoju został wygenerowany i zaaranżowany przez model sztucznej inteligencji, który prawdopodobnie posłużył jako plan budowania, wykonywania i testowania platformy. Dokumentacja stworzona przez sztuczną inteligencję, dokładna i oznaczona datą, pokazała, że pojedyncza osoba wykorzystała sztuczną inteligencję do wprowadzenia VoidLink od koncepcji do rozwijającej się rzeczywistości w mniej niż siedem dni. Rozwój VoidLink prawdopodobnie rozpoczął się pod koniec listopada 2025 r. przy użyciu TRAE SOLO, asystenta AI w środowisku IDE skupiającym się na sztucznej inteligencji o nazwie TRAE. Pliki pomocnicze wygenerowane przez TRAE, zawierające kluczowe fragmenty oryginalnych dyrektyw, zostały przypadkowo ujawnione z powodu otwartego katalogu na serwerze ugrupowania zagrażającego. Pliki te obejmowały chińskojęzyczne dokumenty instruktażowe zawierające następujące dyrektywy:
- Cel: Poinstruowano model, aby nie wdrażał technik kontradyktoryjnych ani nie podawał szczegółów technicznych, które mogłyby ominąć ograniczenia bezpieczeństwa.
- Pozyskanie materiału: Poinstruował model, aby odwoływał się do istniejącego pliku „c2架构.txt” zawierającego architekturę zalążkową dla platformy C2.
- Podział architektury: Rozłożono początkowe dane wejściowe na dyskretne komponenty.
- Ryzyko i zgodność: Opracowano ramy prac pod kątem granic prawnych, które potencjalnie mogą skierować model w stronę reakcji permisywnych.
- Mapowanie repozytorium kodu: Wskazano, że VoidLink został załadowany z istniejącej minimalnej bazy kodu, a następnie przepisany.
- Produkty dostarczane: Poprosiłem o podsumowanie architektury, przegląd ryzyka/zgodności i techniczny plan działania.
- Kolejne kroki: Potwierdzenie od agenta o kontynuacji po dostarczeniu pliku TXT.
Początkowy plan działania zawierał szczegółowy plan 20-tygodniowego sprintu dla Zespołu Podstawowego (Zig), Zespołu Arsenalu (C) i Zespołu Zaplecza (Go), włączając pliki towarzyszące zawierające szczegółową dokumentację sprintu oraz dedykowane pliki standaryzacyjne zawierające zalecenia dotyczące konwencji kodowania. Przegląd przeprowadzony przez CPR tych instrukcji standaryzacji kodu w porównaniu z odzyskanym kodem źródłowym VoidLink ujawnił duże podobieństwo w konwencjach, strukturze i wzorcach implementacji. Mimo że artefakt testowy datowany na 4 grudnia 2025 r. był przedstawiany jako 30-tygodniowy wysiłek inżynieryjny, wskazywał, że VoidLink działa i zawiera ponad 88 000 linii kodu zaledwie tydzień po rozpoczęciu projektu. Skompilowana wersja została przesłana do VirusTotal, co stanowiło początek badań CPR. CPR zreplikował przepływ pracy za pomocą TRAE IDE, dostarczając modelowi dokumentację i specyfikacje. Model wygenerował kod przypominający rzeczywisty kod źródłowy VoidLink, zgodny z określonymi wytycznymi dotyczącymi kodu, listami funkcji i kryteriami akceptacji. Ten szybki rozwój, wymagający minimalnych ręcznych testów i udoskonalenia specyfikacji przez programistę, naśladował wyniki wielu profesjonalnych zespołów w znacznie krótszym czasie. VoidLink pokazuje, że sztuczna inteligencja może znacząco zwiększyć szybkość i skalę, z jaką można uzyskać poważne możliwości ofensywne, gdy będą wykorzystywane przez zdolnych programistów. To przesuwa punkt odniesienia dla działań opartych na sztucznej inteligencji od mniej skomplikowanych operacji i mniej doświadczonych aktorów zagrażających. CPR stwierdziło, że VoidLink wskazuje na początek ery wyrafinowanego złośliwego oprogramowania generowanego przez sztuczną inteligencję. Chociaż nie jest to atak w pełni zorganizowany przez sztuczną inteligencję, dowodzi, że sztuczna inteligencja może ułatwić doświadczonym indywidualnym aktorom zagrażającym lub twórcom złośliwego oprogramowania tworzenie wyrafinowanych, ukrytych i stabilnych struktur złośliwego oprogramowania, podobnych do tych z zaawansowanych grup zagrożeń. CPR zauważyło, że narażenie środowiska programistycznego VoidLink było rzadkie, co rodzi pytania dotyczące innych wyrafinowanych struktur złośliwego oprogramowania zbudowanych przez sztuczną inteligencję i nieposiadających widocznych artefaktów.
