DKnife AitM 프레임워크

사이버 보안 연구원들은 중국과 연관된 위협 행위자들이 개발한 것으로 추정되는 정교한 게이트웨이 모니터링 및 중간자 공격(AitM) 프레임워크인 DKnife를 공개했습니다. 이 프레임워크는 최소 2019년부터 활동해 왔으며, 네트워크 에지에서 작동하도록 설계되어 손상된 라우터와 에지 디바이스를 통해 은밀한 트래픽 검사, 조작 및 악성코드 유포를 가능하게 합니다.

중국어 사용자를 대상으로 한 전략적 타겟팅

DKnife는 주로 중국어 사용자를 표적으로 삼는 것으로 보입니다. 이러한 평가는 중국 이메일 제공업체에 맞춘 피싱 페이지, 위챗과 같은 널리 사용되는 중국 모바일 애플리케이션을 겨냥한 데이터 유출 모듈, 소스 코드 내에 중국 언론사 도메인을 직접 참조하는 코드 등 여러 지표를 통해 뒷받침됩니다. 그러나 연구진은 이러한 결론이 단일 명령 및 제어(C2) 서버에서 추출한 구성 파일에 기반한 것이므로 다른 지역을 겨냥한 유사한 공격 체계가 존재할 가능성이 있음을 경고합니다.

중국과 연계된 광범위한 위협 활동과의 연관성

이 프레임워크는 MOONSHINE 익스플로잇 키트 및 DarkNimbus(DarkNights라고도 함) 백도어와 연관된 Earth Minotaur라는 이름의 광범위한 중국 위협 집단에 대한 조사 과정에서 발견되었습니다. 특히 DarkNimbus는 TheWizards라는 또 다른 중국 연계 고도 지속 위협(APT) 그룹에 의해서도 배포되었습니다.

인프라 분석 결과, DKnife와 WizardNet 사이에 중복되는 부분이 발견되었습니다. WizardNet은 TheWizards가 사용하는 윈도우 악성 프로그램으로, 2025년 4월에 공개된 Spellbinder라는 AitM 프레임워크를 통해 배포됩니다. 이러한 연관성은 TheWizards가 캄보디아, 홍콩, 중국 본토, 필리핀, 아랍에미리트 등지에서 개인 및 도박 관련 단체를 표적으로 삼아 온 것으로 알려져 있다는 점을 고려할 때 매우 중요합니다.

리눅스 중심의 모듈형 아키텍처

WizardNet과 달리 DKnife는 Linux 기반 환경에 특화되어 설계되었으므로 라우터 및 엣지 디바이스에 배포하기에 적합합니다. 이 프레임워크는 ELF 다운로더를 통해 제공되며 모듈식 설계를 채택하여 운영자가 패킷 포워딩부터 완전한 트래픽 가로채기 및 조작에 이르기까지 다양한 기능을 선택적으로 활성화할 수 있습니다.

DKnife 프레임워크 구성 요소

• dknife.bin – 심층 패킷 검사, 사용자 활동 모니터링, DNS 하이재킹 및 바이너리 다운로드 하이재킹을 담당하는 핵심 모듈
• postapi.bin – DKnife에서 수집된 데이터를 수신하여 원격 C2 서버로 전달하는 보고 릴레이입니다.
• sslmm.bin – TLS 종료, 이메일 복호화 및 URL 리디렉션을 위해 수정된 HAProxy 리버스 프록시입니다.

• mmdown.bin – 하드코딩된 C2 서버에 연결하여 악성 안드로이드 APK를 다운로드하는 업데이트 프로그램입니다.

• yitiji.bin – 공격자가 주입한 LAN 트래픽을 위해 라우터에 브리지된 TAP 인터페이스를 생성하는 패킷 포워더입니다.

• remote.bin – 원격 C2 인프라와 통신 채널을 설정하는 P2P VPN 클라이언트입니다.

• dkupdate.bin – 모든 구성 요소의 지속성과 가용성을 보장하는 업데이트 및 감시 모듈입니다.

인라인 복호화를 통한 자격 증명 탈취

DKnife는 특히 주요 중국 이메일 제공업체를 표적으로 삼아 자격 증명을 탈취하는 전용 기능을 포함하고 있습니다. sslmm.bin 모듈은 공격자가 제어하는 TLS 인증서를 클라이언트에 표시하고, POP3 및 IMAP 연결을 종료 및 복호화한 후, 결과로 생성된 평문 트래픽을 검사하여 사용자 이름과 비밀번호를 추출합니다. 추출된 자격 증명은 적절하게 레이블이 지정되어 postapi.bin으로 전달되고, 수집 및 분석을 위해 원격 C2 서버로 전송됩니다.

심층 패킷 검사는 공격을 가능하게 하는 도구이다.

이 프레임워크의 핵심에는 광범위한 심층 패킷 검사 및 실시간 트래픽 분석을 가능하게 하는 dknife.bin이 있습니다. 이 기능을 통해 운영자는 수동 모니터링과 능동적인 인라인 공격(정상적인 소프트웨어 다운로드를 악성 페이로드로 교체하는 공격 포함) 간에 원활하게 전환할 수 있습니다.

주요 운영 역량

• DarkNimbus 멀웨어의 안드로이드 및 윈도우 변종에 대한 업데이트된 C2 구성 배포
• JD.com 관련 도메인과 연결된 트래픽을 리디렉션하기 위해 IPv4 및 IPv6 모두에서 DNS 기반 하이재킹이 발생했습니다.
• 중국 뉴스, 스트리밍 미디어, 이미지 편집, 전자상거래, 차량 호출, 게임 및 성인 비디오 플랫폼의 안드로이드 애플리케이션 업데이트를 가로채고 교체하는 행위
• Windows 및 기타 바이너리 다운로드를 하이재킹하여 DLL 사이드 로딩을 통해 ShadowPad 백도어를 배포하고, 이후 DarkNimbus를 로드합니다.
• 360 및 텐센트 제품을 포함한 안티바이러스 및 시스템 관리 소프트웨어로 인한 통신 장애
• 메시지, 음성 및 영상 통화, 쇼핑, 뉴스 소비, 지도 검색, 스트리밍, 게임, 데이트, 차량 공유, 이메일 사용 등 다양한 활동으로 분류된 사용자 행동을 실시간으로 모니터링합니다.

네트워크 에지 보안에 대한 시사점

라우터와 엣지 디바이스는 고도화된 표적 침입 캠페인에서 여전히 중요한 공격 대상입니다. 위협 행위자들이 이러한 인프라 계층에 점점 더 집중함에 따라, 그들이 사용하는 도구와 기술에 대한 가시성이 필수적입니다. DKnife 프레임워크의 노출은 심층 패킷 검사, 트래픽 조작, 맞춤형 멀웨어 배포를 결합하여 다양한 유형의 장치를 대규모로 감염시키는 최신 AitM(Advanced Interrupted Management) 위협의 성숙도를 보여줍니다.