Framework DKnife AitM
I ricercatori di sicurezza informatica hanno svelato un sofisticato framework di monitoraggio del gateway e di attacco al centro (AitM) noto come DKnife, attribuito ad attori di minacce China-nexus e attivo almeno dal 2019. Il framework è stato appositamente progettato per operare ai margini della rete, consentendo l'ispezione segreta del traffico, la manipolazione e la distribuzione di malware tramite router compromessi e dispositivi periferici.
Sommario
Targeting strategico degli utenti di lingua cinese
DKnife sembra rivolgersi principalmente a utenti di lingua cinese. Questa valutazione è supportata da molteplici indicatori, tra cui pagine di phishing personalizzate per provider di posta elettronica cinesi, moduli di esfiltrazione dati focalizzati su applicazioni mobili cinesi ampiamente utilizzate come WeChat e riferimenti hard-coded a domini mediatici cinesi all'interno del codice sorgente. I ricercatori avvertono, tuttavia, che questa conclusione si basa su file di configurazione recuperati da un singolo server di comando e controllo (C2), lasciando aperta la possibilità di infrastrutture parallele personalizzate per altre regioni.
Legami con una più ampia attività di minaccia allineata alla Cina
Il framework è stato scoperto durante l'indagine su un più ampio cluster di minacce cinesi identificato come Earth Minotaur, associato all'exploit kit MOONSHINE e alla backdoor DarkNimbus (nota anche come DarkNights). In particolare, DarkNimbus è stato implementato anche da un altro gruppo di minacce persistenti avanzate affiliato alla Cina, noto come TheWizards.
L'analisi dell'infrastruttura ha rivelato sovrapposizioni tra DKnife e WizardNet, un impianto Windows utilizzato da TheWizards e distribuito tramite un framework AitM chiamato Spellbinder, documentato pubblicamente nell'aprile 2025. Queste connessioni sono significative, dato che TheWizards è noto per aver preso di mira individui ed entità legate al gioco d'azzardo in Cambogia, Hong Kong, Cina continentale, Filippine ed Emirati Arabi Uniti.
Un’architettura modulare focalizzata su Linux
A differenza di WizardNet, DKnife è progettato specificamente per ambienti basati su Linux, il che lo rende ideale per l'implementazione su router e dispositivi edge. Il framework viene fornito tramite un downloader ELF e utilizza un design modulare che consente agli operatori di abilitare selettivamente funzionalità che vanno dall'inoltro dei pacchetti all'intercettazione e manipolazione completa del traffico.
Componenti del framework DKnife
- dknife.bin – Il modulo principale responsabile dell'ispezione approfondita dei pacchetti, del monitoraggio delle attività degli utenti, del dirottamento DNS e del dirottamento dei download binari
- postapi.bin – Un relay di reporting che riceve i dati raccolti da DKnife e li inoltra ai server C2 remoti
- sslmm.bin – Un proxy inverso HAProxy modificato utilizzato per la terminazione TLS, la decrittazione delle e-mail e il reindirizzamento degli URL
- mmdown.bin – Un programma di aggiornamento che si connette a un server C2 hard-coded per recuperare APK Android dannosi
- yitiji.bin – Un inoltratore di pacchetti che crea un'interfaccia TAP bridged sul router per il traffico LAN iniettato dall'aggressore
- remote.bin – Un client VPN peer-to-peer che stabilisce canali di comunicazione con l'infrastruttura C2 remota
- dkupdate.bin – Un modulo di aggiornamento e watchdog che garantisce la persistenza e la disponibilità di tutti i componenti
Raccolta di credenziali tramite decrittazione in linea
DKnife include funzionalità dedicate al furto di credenziali, in particolare contro un importante provider di posta elettronica cinese. Il modulo sslmm.bin presenta ai client certificati TLS controllati dall'aggressore, termina e decrittografa le connessioni POP3 e IMAP e ispeziona il traffico in chiaro risultante per estrarre nomi utente e password. Le credenziali raccolte vengono etichettate di conseguenza, passate a postapi.bin e inoltrate a server C2 remoti per la raccolta e l'analisi.
Ispezione approfondita dei pacchetti come abilitatore di attacchi
Al centro del framework si trova dknife.bin, che consente un'ispezione approfondita dei pacchetti e un'analisi del traffico in tempo reale. Questa funzionalità consente agli operatori di passare senza problemi dal monitoraggio passivo agli attacchi in-line attivi, inclusa la sostituzione di download di software legittimi con payload dannosi.
Capacità operative chiave
- Distribuzione delle configurazioni C2 aggiornate alle varianti Android e Windows del malware DarkNimbus
- Dirottamento basato su DNS su IPv4 e IPv6 per reindirizzare il traffico associato ai domini correlati a JD.com
- Intercettazione e sostituzione degli aggiornamenti delle applicazioni Android per le piattaforme cinesi di notizie, streaming media, modifica delle immagini, e-commerce, ride-hailing, giochi e video per adulti
- Dirottamento di Windows e di altri download binari per distribuire la backdoor ShadowPad tramite caricamento laterale DLL, caricando successivamente DarkNimbus
- Interruzione delle comunicazioni da parte di software antivirus e di gestione del sistema, inclusi prodotti di 360 e Tencent
- Monitoraggio in tempo reale del comportamento degli utenti, categorizzato in base ad attività quali messaggistica, chiamate vocali e video, shopping, consumo di notizie, ricerche su mappe, streaming, giochi, incontri, condivisione di corse e utilizzo della posta elettronica
Implicazioni per la sicurezza del perimetro di rete
Router e dispositivi edge continuano a rappresentare obiettivi di alto valore nelle campagne di intrusione mirate e avanzate. Poiché gli autori delle minacce si concentrano sempre di più su questo livello di infrastruttura, la visibilità sugli strumenti e sulle tecniche impiegate diventa essenziale. L'esposizione del framework DKnife sottolinea la maturità delle moderne minacce AitM, che combinano ispezione approfondita dei pacchetti, manipolazione del traffico e distribuzione di malware su misura per compromettere un'ampia gamma di tipologie di dispositivi su larga scala.
