Was ist VoidLink?

Im Januar 2026 machten Sicherheitsforscher des Unternehmens Check Point eine beunruhigende Entdeckung: eine neue, hochentwickelte Schadsoftware namens VoidLink, die gezielt auf Linux-Server in Cloud-Umgebungen ausgerichtet ist. Was die Forscher dabei vorfanden, war kein gewöhnlicher Computervirus – sondern ein professionell strukturiertes Angriffswerkzeug, das in seiner Raffinesse weit über bekannte Linux-Schadsoftware hinausgeht.

VoidLink richtet sich an Infrastrukturen, auf denen ein Großteil des Internets läuft: Dienste bei Amazon Web Services (AWS), Google Cloud, Microsoft Azure und containerbasierte Umgebungen wie Docker und Kubernetes. Damit ist potenziell ein enormes Angriffsfeld gegeben.

Was macht VoidLink so besonders?

Schadsoftware für Linux ist nicht neu – aber VoidLink hebt sich in mehreren Punkten deutlich ab:

Entwickelt mit Hilfe von Künstlicher Intelligenz

Check Point fand Hinweise darauf, dass VoidLink überwiegend mit Unterstützung eines KI-Modells entwickelt wurde – offenbar von einer einzigen Person. Binnen weniger Tage entstand so ein funktionsfähiges erstes System, das bis Anfang Dezember 2025 auf über 88.000 Codezeilen anwuchs. Das zeigt: KI senkt die Hürde für die Entwicklung komplexer Angriffswerkzeuge erheblich. Was früher ein ganzes Team erfahrener Programmierer benötigte, kann heute eine einzelne Person mit KI-Unterstützung leisten.

Modularer Aufbau – anpassbar wie ein Werkzeugkasten

VoidLink ist nicht starr, sondern modular aufgebaut. Das bedeutet: Die Grundstruktur bleibt schlank, aber über nachdladbare Erweiterungen – sogenannte Plugins – können Angreifer jederzeit neue Fähigkeiten hinzufügen. Mehr als 30 solcher Module standen laut Analyse bereits zur Verfügung, für Aufgaben wie das Ausspähen des Systems, das Stehlen von Zugangsdaten oder das Ausbreiten auf weitere Rechner im Netzwerk.

Nahezu unsichtbar im laufenden Betrieb

VoidLink hinterlässt möglichst wenig Spuren. Die Schadsoftware lädt ihre Hauptkomponenten direkt in den Arbeitsspeicher, ohne sie dauerhaft auf der Festplatte zu speichern – das macht sie für viele klassische Sicherheitsscanner schwer erkennbar. Zudem tarnt sie sich als normaler Systemprozess. Besonders bemerkenswert: VoidLink erkennt aktiv, welche Sicherheitslösungen auf dem System laufen, und verlangsamt sein eigenes Verhalten, wenn es ein Risiko der Entdeckung feststellt.

Gezielt auf Cloud-Umgebungen zugeschnitten

Die Schadsoftware erkennt automatisch, in welcher Cloud-Umgebung sie sich befindet – AWS, Azure, Google Cloud – und liest die dort verfügbaren Systeminformationen aus. Auch containerbasierte Umgebungen wie Docker und Kubernetes werden erkannt und gezielt ausgewertet. Das zeigt: VoidLink wurde nicht als allgemeines Angriffswerkzeug gebaut, sondern mit präzisem Fokus auf moderne Unternehmensinfrastruktur.

Verdächtiger Ursprung: staatlich geförderter Angreifer?

Sicherheitsforscher fanden im Code von VoidLink Hinweise auf chinesische Spracheinstellungen und Zeitzonenkonfigurationen. Das Management-Interface war auf chinesischsprachige Nutzer ausgerichtet. Zusammen mit dem professionellen Gesamtbild und dem Umstand, dass VoidLink auch als „Malware-as-a-Service" – also als käufliches Angriffswerkzeug für andere Kriminelle – konzipiert scheint, deutet vieles auf einen gut organisierten, staatlich geförderten oder zumindest staatlich tolerierten Akteur hin. Eine abschließende Zuordnung ist aber noch nicht möglich.

Was wollten die Angreifer erreichen?

Das erklärte Ziel von VoidLink ist kein schneller Einbruch, sondern langfristiger, unsichtbarer Zugang zu Systemen. Das deutet auf folgende mögliche Absichten hin:

  • Spionage – Auslesen vertraulicher Daten über einen langen Zeitraum, ohne entdeckt zu werden
  • Datendiebstahl – systematisches Abgreifen von Zugangsdaten, Geschäftsgeheimnissen oder persönlichen Daten
  • Vorbereitung größerer Angriffe – kompromittierte Server als Sprungbrett für Angriffe auf weitere Systeme oder die Lieferkette

Typische Angriffsziele wie Ransomware – also die Verschlüsselung von Daten gegen Lösegeld – stehen bei VoidLink nicht im Vordergrund. Der Fokus liegt auf Unauffälligkeit, nicht auf lautem Schaden.

Sind normale Linux-Nutzer betroffen?

Für Privatanwender und Desktop-Nutzer ist VoidLink keine direkte Bedrohung. Die Schadsoftware zielt ausdrücklich auf professionelle Cloud-Server und Unternehmensinfrastruktur ab – also auf Systeme, die rund um die Uhr im Internet erreichbar sind und wertvolle Daten verarbeiten.

Dennoch berührt VoidLink jeden indirekt: Wer Cloud-Dienste nutzt – ob für E-Mail, Datenspeicherung, Online-Banking oder andere Dienste – verlässt sich auf Server, die prinzipiell Angriffsziel sein können. Die Sicherheit dieser Infrastruktur liegt in der Verantwortung der jeweiligen Anbieter.

Was bedeutet das für das Bild von Linux?

VoidLink ist ein deutliches Zeichen dafür, dass das verbreitete Bild von Linux als „sicheres Betriebssystem, das keine Schadsoftware kennt" einer Korrektur bedarf – zumindest im Serverbereich.

Linux ist nach wie vor sicherer als Windows im Desktop-Bereich, weil es deutlich seltener Ziel von Massenangriffen ist. Doch gerade weil über 90 % der weltweiten Cloud-Infrastruktur auf Linux läuft, ist es für professionelle Angreifer ein hochattraktives Ziel. Die Angriffe sind nur anders: gezielter, geduldiger, technisch raffinierter.

Für Serveradministratoren und Unternehmen bedeutet VoidLink: Regelmäßige Updates, ein durchdachtes Monitoring und das Prinzip minimaler Berechtigungen sind keine Kür – sie sind Pflicht.

Hinweis: Zum Zeitpunkt der Entdeckung im Januar 2026 waren noch keine aktiven Infektionen durch VoidLink bekannt. Das deutet entweder auf eine frühe Entwicklungsphase oder auf eine sehr gezielte, noch unentdeckte Verbreitung hin. Sicherheitsforscher gehen davon aus, dass VoidLink als kommerzielles Angriffswerkzeug an andere Kriminelle verkauft werden sollte.

Linux – Vor- & Nachteile Windows-Programme unter Linux