إطار عمل DKnife AitM

كشف باحثو الأمن السيبراني عن إطار عمل متطور لمراقبة البوابات واختراق الخصوم (AitM) يُعرف باسم DKnife، وينسب إلى جهات تهديد مرتبطة بالصين، وهو نشط منذ عام 2019 على الأقل. تم تصميم إطار العمل خصيصًا للعمل على حافة الشبكة، مما يتيح فحص حركة المرور السرية والتلاعب بها وتوصيل البرامج الضارة من خلال أجهزة التوجيه المخترقة وأجهزة الحافة.

الاستهداف الاستراتيجي للمستخدمين الناطقين باللغة الصينية

يبدو أن برنامج DKnife يستهدف بشكل أساسي المستخدمين الناطقين باللغة الصينية. ويدعم هذا التقييم مؤشرات متعددة، منها صفحات تصيد مصممة خصيصًا لمزودي خدمة البريد الإلكتروني الصينيين، ووحدات استخراج بيانات تركز على تطبيقات الهواتف المحمولة الصينية واسعة الانتشار مثل WeChat، بالإضافة إلى إشارات مُضمنة في شفرة المصدر إلى مواقع إعلامية صينية. مع ذلك، يحذر الباحثون من أن هذا الاستنتاج يستند إلى ملفات تكوين تم استرجاعها من خادم تحكم وسيطرة واحد، مما يترك الباب مفتوحًا أمام احتمال وجود بنى تحتية موازية مصممة خصيصًا لمناطق أخرى.

علاقات بأنشطة تهديد أوسع نطاقاً متحالفة مع الصين

تم الكشف عن هذا الإطار خلال التحقيق في مجموعة تهديدات صينية أوسع نطاقًا تُعرف باسم "إيرث مينوتور"، والتي ارتبطت بمجموعة أدوات استغلال الثغرات الأمنية "مونشاين" وبرنامج "دارك نيمبوس" (المعروف أيضًا باسم "دارك نايتس") الخبيث. والجدير بالذكر أن "دارك نيمبوس" قد تم نشره أيضًا من قبل مجموعة تهديدات متقدمة ومستمرة أخرى متحالفة مع الصين تُعرف باسم "ذا ويزاردز".

كشف تحليل البنية التحتية عن وجود تداخلات بين DKnife و WizardNet، وهو برنامج زرع لنظام التشغيل Windows تستخدمه شركة TheWizards ويتم تقديمه عبر إطار عمل AitM يسمى Spellbinder، والذي تم توثيقه علنًا في أبريل 2025. وتُعد هذه الروابط مهمة نظرًا لاستهداف شركة TheWizards المعروف للأفراد والكيانات المرتبطة بالمقامرة في جميع أنحاء كمبوديا وهونغ كونغ والصين القارية والفلبين والإمارات العربية المتحدة.

بنية معيارية تركز على نظام لينكس

على عكس WizardNet، صُمم DKnife خصيصًا لبيئات Linux، مما يجعله مناسبًا تمامًا للنشر على أجهزة التوجيه والأجهزة الطرفية. يتم توفير إطار العمل عبر برنامج تنزيل ELF، ويستخدم تصميمًا معياريًا يسمح للمشغلين بتفعيل وظائف محددة تتراوح من إعادة توجيه الحزم إلى اعتراض حركة البيانات ومعالجتها بالكامل.

مكونات إطار عمل DKnife

• dknife.bin – الوحدة الأساسية المسؤولة عن فحص الحزم المتعمق، ومراقبة نشاط المستخدم، واختطاف نظام أسماء النطاقات (DNS)، واختطاف تنزيل الملفات الثنائية
• postapi.bin – خادم وسيط للإبلاغ يستقبل البيانات التي تم جمعها من DKnife ويعيد توجيهها إلى خوادم التحكم والسيطرة البعيدة.
• sslmm.bin – خادم وكيل عكسي معدل من HAProxy يُستخدم لإنهاء TLS وفك تشفير البريد الإلكتروني وإعادة توجيه عناوين URL

جمع بيانات الاعتماد من خلال فك التشفير المضمن

يتضمن برنامج DKnife وظائف مخصصة لسرقة بيانات الاعتماد، تستهدف بشكل خاص مزود خدمة بريد إلكتروني صيني رئيسي. تقوم وحدة sslmm.bin بعرض شهادات TLS التي يتحكم بها المهاجم على العملاء، ثم تنهي اتصالات POP3 وIMAP وتفك تشفيرها، وتفحص حركة البيانات النصية الناتجة لاستخراج أسماء المستخدمين وكلمات المرور. تُصنف بيانات الاعتماد المسروقة وفقًا لذلك، وتُمرر إلى postapi.bin، ثم تُرسل إلى خوادم C2 البعيدة لجمعها وتحليلها.

فحص الحزم العميق كعامل تمكين للهجوم

يُعدّ ملف dknife.bin جوهر هذا الإطار، إذ يُتيح فحصًا معمقًا وشاملاً لحزم البيانات وتحليل حركة البيانات في الوقت الفعلي. تُمكّن هذه الخاصية المشغلين من الانتقال بسلاسة بين المراقبة السلبية والهجمات النشطة المباشرة، بما في ذلك استبدال تنزيلات البرامج المشروعة ببرامج خبيثة.

القدرات التشغيلية الرئيسية

• توزيع إعدادات C2 المحدثة لإصدارات نظامي التشغيل أندرويد وويندوز من برمجية DarkNimbus الخبيثة
• اختطاف قائم على نظام أسماء النطاقات (DNS) عبر كل من IPv4 و IPv6 لإعادة توجيه حركة المرور المرتبطة بنطاقات JD.com
• اعتراض واستبدال تحديثات تطبيقات أندرويد الخاصة بمنصات الأخبار الصينية، وبث الوسائط، وتحرير الصور، والتجارة الإلكترونية، وخدمات النقل، والألعاب، والفيديوهات الإباحية.
• اختطاف نظام التشغيل ويندوز وتنزيلات الملفات الثنائية الأخرى لتوصيل باب ShadowPad الخلفي عبر تحميل ملفات DLL الجانبية، ثم تحميل برنامج DarkNimbus الخبيث.
• انقطاع الاتصالات بسبب برامج مكافحة الفيروسات وبرامج إدارة الأنظمة، بما في ذلك منتجات من شركتي 360 وتينسنت.
• مراقبة سلوك المستخدم في الوقت الفعلي، مصنفة حسب الأنشطة مثل المراسلة، والمكالمات الصوتية والمرئية، والتسوق، ومتابعة الأخبار، والبحث عبر الخرائط، والبث المباشر، والألعاب، والمواعدة، وخدمات مشاركة الركوب، واستخدام البريد الإلكتروني.

الآثار المترتبة على أمن حافة الشبكة

لا تزال أجهزة التوجيه والأجهزة الطرفية تمثل أهدافًا قيّمة في حملات الاختراق المتقدمة والموجهة. ومع تزايد تركيز الجهات الفاعلة في مجال التهديدات على هذه الطبقة من البنية التحتية، يصبح الكشف عن الأدوات والتقنيات التي تستخدمها أمرًا بالغ الأهمية. ويؤكد الكشف عن إطار عمل DKnife على نضج تهديدات الاختراق المتقدمة الحديثة، التي تجمع بين فحص الحزم المتعمق، والتلاعب بحركة البيانات، ونشر البرامج الضارة المصممة خصيصًا لاختراق مجموعة واسعة من أنواع الأجهزة على نطاق واسع.