DKnife AitM-framework
Onderzoekers op het gebied van cyberbeveiliging hebben een geavanceerd framework voor gatewaymonitoring en een 'adversary-in-the-middle'-aanpak (AitM) onthuld, genaamd DKnife. Dit framework wordt toegeschreven aan Chinese cybercriminelen en is minstens sinds 2019 actief. Het framework is specifiek ontworpen om aan de netwerkrand te opereren en maakt heimelijke inspectie en manipulatie van netwerkverkeer en verspreiding van malware mogelijk via gecompromitteerde routers en apparaten aan de rand van het netwerk.
Inhoudsopgave
Strategische targeting van Chineessprekende gebruikers
DKnife lijkt zich voornamelijk te richten op Chineessprekende gebruikers. Deze inschatting wordt ondersteund door meerdere indicatoren, waaronder phishingpagina's die specifiek zijn afgestemd op Chinese e-mailproviders, modules voor data-exfiltratie die zich richten op veelgebruikte Chinese mobiele applicaties zoals WeChat, en hardgecodeerde verwijzingen naar Chinese mediadomeinen in de broncode. Onderzoekers waarschuwen echter dat deze conclusie is gebaseerd op configuratiebestanden die zijn verkregen van één enkele Command-and-Control (C2)-server, waardoor de mogelijkheid openblijft van parallelle infrastructuren die zijn afgestemd op andere regio's.
Banden met bredere, op China gerichte dreigingsactiviteiten
Het framework werd ontdekt tijdens het onderzoek naar een breder Chinees dreigingscluster dat bekendstaat als Earth Minotaur, dat in verband wordt gebracht met de MOONSHINE-exploitkit en de DarkNimbus-backdoor (ook bekend als DarkNights). Opvallend is dat DarkNimbus ook is ingezet door een andere aan China gelieerde geavanceerde persistente dreigingsgroep, genaamd TheWizards.
Infrastructuuranalyse bracht overlappingen aan het licht tussen DKnife en WizardNet, een Windows-implantaat dat door TheWizards werd gebruikt en verspreid via een AitM-framework genaamd Spellbinder, dat in april 2025 openbaar werd gemaakt. Deze verbanden zijn significant gezien de bekende targeting door TheWizards van individuen en gokgerelateerde entiteiten in Cambodja, Hongkong, het Chinese vasteland, de Filipijnen en de Verenigde Arabische Emiraten.
Een op Linux gerichte, modulaire architectuur
In tegenstelling tot WizardNet is DKnife specifiek ontworpen voor Linux-omgevingen, waardoor het zeer geschikt is voor implementatie op routers en edge-apparaten. Het framework wordt geleverd via een ELF-downloader en maakt gebruik van een modulair ontwerp waarmee beheerders selectief functionaliteiten kunnen inschakelen, variërend van pakketdoorsturing tot volledige verkeersonderschepping en -manipulatie.
DKnife Framework Componenten
- dknife.bin – De kernmodule verantwoordelijk voor diepgaande pakketinspectie, monitoring van gebruikersactiviteit, DNS-kaping en het kapen van binaire downloads.
- postapi.bin – Een rapportagerelais dat verzamelde gegevens van DKnife ontvangt en doorstuurt naar externe C2-servers.
- sslmm.bin – Een aangepaste HAProxy reverse proxy die wordt gebruikt voor TLS-terminatie, e-mailontsleuteling en URL-omleiding.
- mmdown.bin – Een updater die verbinding maakt met een vastgelegde C2-server om kwaadaardige Android APK's op te halen.
- yitiji.bin – Een pakketdoorstuurder die een overbrugde TAP-interface op de router creëert voor LAN-verkeer dat door aanvallers wordt geïnjecteerd.
- remote.bin – Een peer-to-peer VPN-client die communicatiekanalen opzet met externe C2-infrastructuur.
- dkupdate.bin – Een updater- en watchdogmodule die de persistentie en beschikbaarheid van alle componenten garandeert.
Het verzamelen van inloggegevens via inline decryptie
DKnife bevat specifieke functionaliteit voor het stelen van inloggegevens, met name gericht op een grote Chinese e-mailprovider. De module sslmm.bin presenteert door de aanvaller beheerde TLS-certificaten aan clients, beëindigt en decodeert POP3- en IMAP-verbindingen en inspecteert het resulterende onversleutelde verkeer om gebruikersnamen en wachtwoorden te extraheren. De verzamelde inloggegevens worden dienovereenkomstig gelabeld, doorgegeven aan postapi.bin en doorgestuurd naar externe C2-servers voor verzameling en analyse.
Diepgaande pakketinspectie als hulpmiddel bij aanvallen
De kern van het framework wordt gevormd door dknife.bin, dat uitgebreide diepgaande pakketinspectie en realtime verkeersanalyse mogelijk maakt. Deze mogelijkheid stelt beheerders in staat naadloos over te schakelen tussen passieve monitoring en actieve inline-aanvallen, waaronder het vervangen van legitieme softwaredownloads door kwaadaardige payloads.
Belangrijkste operationele capaciteiten
- Verspreiding van bijgewerkte C2-configuraties naar Android- en Windows-varianten van de DarkNimbus-malware.
- DNS-gebaseerde kaping via zowel IPv4 als IPv6 om verkeer dat is gekoppeld aan JD.com-gerelateerde domeinen om te leiden.
- Het onderscheppen en vervangen van Android-appupdates voor Chinese nieuws-, streamingmedia-, beeldbewerkings-, e-commerce-, taxidiensten-, game- en erotische videoplatformen.
- Het kapen van Windows en andere binaire downloads om de ShadowPad-achterdeur te installeren via DLL-sideloading, waarna DarkNimbus wordt geladen.
- Verstoring van de communicatie door antivirus- en systeembeheersoftware, waaronder producten van 360 en Tencent.
- Realtime monitoring van gebruikersgedrag, gecategoriseerd naar activiteiten zoals berichten versturen, spraak- en videogesprekken, winkelen, nieuws lezen, kaart zoeken, streamen, gamen, daten, autodelen en e-mailgebruik.
Implicaties voor de beveiliging van de netwerkrand
Routers en edge-apparaten blijven waardevolle doelwitten in geavanceerde, gerichte inbraakcampagnes. Naarmate cybercriminelen zich steeds meer richten op deze infrastructuurlaag, wordt inzicht in de tools en technieken die ze gebruiken essentieel. De onthulling van het DKnife-framework onderstreept de volwassenheid van moderne AitM-dreigingen, die diepgaande pakketinspectie, verkeersmanipulatie en op maat gemaakte malwarelevering combineren om een breed scala aan apparaattypen op grote schaal te compromitteren.
