Estrutura DKnife AitM
Pesquisadores de cibersegurança revelaram uma sofisticada estrutura de monitoramento de gateways e ataque do tipo "adversário no meio" (AitM, na sigla em inglês), conhecida como DKnife, atribuída a agentes de ameaças com ligações à China e ativa desde pelo menos 2019. A estrutura foi projetada especificamente para operar na borda da rede, permitindo inspeção e manipulação secretas de tráfego, além da distribuição de malware por meio de roteadores e dispositivos de borda comprometidos.
Índice
Segmentação estratégica de usuários que falam chinês
O DKnife parece ter como alvo principal usuários de língua chinesa. Essa avaliação é corroborada por múltiplos indicadores, incluindo páginas de phishing direcionadas a provedores de e-mail chineses, módulos de exfiltração de dados focados em aplicativos móveis chineses amplamente utilizados, como o WeChat, e referências embutidas a domínios de mídia chineses no código-fonte. Os pesquisadores alertam, contudo, que essa conclusão se baseia em arquivos de configuração obtidos de um único servidor de Comando e Controle (C2), o que deixa em aberto a possibilidade de infraestruturas paralelas adaptadas a outras regiões.
Ligações com atividades de ameaça mais amplas alinhadas à China
A estrutura foi descoberta durante a investigação de um amplo grupo de ameaças chinesas rastreado como Earth Minotaur, associado ao kit de exploração MOONSHINE e ao backdoor DarkNimbus (também conhecido como DarkNights). Notavelmente, o DarkNimbus também foi implantado por outro grupo de ameaças persistentes avançadas alinhado à China, conhecido como TheWizards.
A análise da infraestrutura revelou sobreposições entre o DKnife e o WizardNet, um implante do Windows usado pelo grupo TheWizards e distribuído por meio de uma estrutura AitM chamada Spellbinder, documentada publicamente em abril de 2025. Essas conexões são significativas, considerando o fato de o TheWizards ter como alvo indivíduos e entidades relacionadas a jogos de azar no Camboja, Hong Kong, China continental, Filipinas e Emirados Árabes Unidos.
Uma arquitetura modular focada em Linux
Ao contrário do WizardNet, o DKnife foi projetado especificamente para ambientes baseados em Linux, tornando-o ideal para implantação em roteadores e dispositivos de borda. A estrutura é distribuída por meio de um downloader ELF e utiliza um design modular que permite aos operadores habilitar seletivamente recursos que variam desde o encaminhamento de pacotes até a interceptação e manipulação completa do tráfego.
Componentes do framework DKnife
- dknife.bin – O módulo principal responsável pela inspeção profunda de pacotes, monitoramento da atividade do usuário, sequestro de DNS e sequestro de downloads binários.
- postapi.bin – Um servidor de retransmissão de relatórios que recebe dados coletados do DKnife e os encaminha para servidores C2 remotos.
- sslmm.bin – Um proxy reverso HAProxy modificado usado para terminação TLS, descriptografia de e-mail e redirecionamento de URL.
- mmdown.bin – Um atualizador que se conecta a um servidor C2 pré-programado para obter APKs maliciosos do Android.
- yitiji.bin – Um encaminhador de pacotes que cria uma interface TAP em ponte no roteador para tráfego LAN injetado por atacantes.
- remote.bin – Um cliente VPN ponto a ponto que estabelece canais de comunicação com a infraestrutura de C2 remota.
- dkupdate.bin – Um módulo de atualização e monitoramento que garante a persistência e a disponibilidade de todos os componentes.
Coleta de credenciais por meio de descriptografia embutida
O DKnife inclui funcionalidades dedicadas ao roubo de credenciais, visando particularmente um dos principais provedores de e-mail chineses. O módulo sslmm.bin apresenta certificados TLS controlados pelo atacante aos clientes, encerra e descriptografa conexões POP3 e IMAP e inspeciona o tráfego de texto simples resultante para extrair nomes de usuário e senhas. As credenciais coletadas são devidamente etiquetadas, passadas para o postapi.bin e retransmitidas para servidores C2 remotos para coleta e análise.
Inspeção profunda de pacotes como facilitadora de ataques
No núcleo da estrutura está o dknife.bin, que permite uma inspeção profunda e abrangente de pacotes e análise de tráfego em tempo real. Essa capacidade permite que os operadores alternem perfeitamente entre o monitoramento passivo e ataques ativos em linha, incluindo a substituição de downloads de software legítimos por payloads maliciosos.
Principais capacidades operacionais
- Distribuição de configurações C2 atualizadas para variantes Android e Windows do malware DarkNimbus.
- Sequestro de DNS via IPv4 e IPv6 para redirecionar o tráfego associado a domínios relacionados ao JD.com.
- Interceptação e substituição de atualizações de aplicativos Android para plataformas chinesas de notícias, streaming de mídia, edição de imagens, comércio eletrônico, transporte por aplicativo, jogos e vídeos adultos.
- Sequestro do Windows e de outros downloads binários para distribuir o backdoor ShadowPad por meio de carregamento lateral de DLL, carregando posteriormente o DarkNimbus.
- Interrupção das comunicações por software antivírus e de gerenciamento de sistemas, incluindo produtos da 360 e da Tencent.
- Monitoramento em tempo real do comportamento do usuário, categorizado em atividades como mensagens, chamadas de voz e vídeo, compras, consumo de notícias, buscas em mapas, streaming, jogos, encontros, compartilhamento de viagens e uso de e-mail.
Implicações para a segurança da borda da rede
Roteadores e dispositivos de borda continuam a representar alvos de alto valor em campanhas de intrusão avançadas e direcionadas. À medida que os agentes de ameaças se concentram cada vez mais nessa camada de infraestrutura, a visibilidade das ferramentas e técnicas que empregam torna-se essencial. A exposição do framework DKnife ressalta a maturidade das ameaças AitM modernas, que combinam inspeção profunda de pacotes, manipulação de tráfego e distribuição de malware personalizada para comprometer uma ampla gama de tipos de dispositivos em grande escala.
