Rámec DKnife AitM

Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovaný systém monitorovania brán a útoku protivníka uprostred (AitM) známy ako DKnife, ktorý sa pripisuje aktérom v oblasti čínskych hrozeb a je aktívny minimálne od roku 2019. Tento systém je vytvorený na prevádzku na okraji siete, čo umožňuje skrytú kontrolu prevádzky, manipuláciu a šírenie škodlivého softvéru prostredníctvom napadnutých smerovačov a okrajových zariadení.

Strategické zacielenie na čínsky hovoriacich používateľov

Zdá sa, že DKnife sa zameriava predovšetkým na čínsky hovoriacich používateľov. Toto hodnotenie podporuje viacero ukazovateľov vrátane phishingových stránok prispôsobených pre čínskych poskytovateľov e-mailových služieb, modulov na exfiltráciu údajov zameraných na široko používané čínske mobilné aplikácie, ako je WeChat, a pevne zakódovaných odkazov na čínske mediálne domény v zdrojovom kóde. Výskumníci však upozorňujú, že tento záver je založený na konfiguračných súboroch získaných z jedného servera Command-and-Control (C2), čo ponecháva otvorenú možnosť paralelných infraštruktúr prispôsobených iným regiónom.

Prepojenie so širšou hrozbou spojenou s Čínou

Tento systém bol odhalený počas vyšetrovania širšieho čínskeho klastra hrozieb sledovaného ako Earth Minotaur, ktorý bol spájaný s exploit kitom MOONSHINE a zadnými vrátkami DarkNimbus (tiež známymi ako DarkNights). DarkNimbus bol nasadený aj ďalšou pokročilou skupinou perzistentných hrozieb spojenou s Čínou známou ako TheWizards.

Analýza infraštruktúry odhalila prekrývanie medzi DKnife a WizardNet, implantátom systému Windows používaným spoločnosťou TheWizards a poskytovaným prostredníctvom frameworku AitM s názvom Spellbinder, ktorý bol verejne zdokumentovaný v apríli 2025. Tieto prepojenia sú významné vzhľadom na známe cielenie TheWizards na jednotlivcov a subjekty súvisiace s hazardnými hrami v Kambodži, Hongkongu, pevninskej Číne, na Filipínach a v Spojených arabských emirátoch.

Modulárna architektúra zameraná na Linux

Na rozdiel od WizardNet je DKnife navrhnutý špeciálne pre prostredia založené na Linuxe, vďaka čomu je vhodný na nasadenie na routeroch a okrajových zariadeniach. Rámec je dodávaný prostredníctvom ELF downloaderu a využíva modulárny dizajn, ktorý umožňuje operátorom selektívne povoliť funkcie od presmerovania paketov až po úplné zachytávanie a manipuláciu s prevádzkou.

Komponenty frameworku DKnife

• dknife.bin – Základný modul zodpovedný za hĺbkovú kontrolu paketov, monitorovanie aktivity používateľov, únos DNS a únos binárnych súborov
• postapi.bin – reportovací modul, ktorý prijíma zozbierané dáta z DKnife a preposiela ich na vzdialené servery C2
• sslmm.bin – Upravený reverzný proxy server HAProxy používaný na ukončenie TLS, dešifrovanie e-mailov a presmerovanie URL.

• mmdown.bin – aktualizačný program, ktorý sa pripája k pevne zakódovanému serveru C2 a načítava škodlivé súbory APK pre Android

• yitiji.bin – Preposielateľ paketov, ktorý vytvára premostené rozhranie TAP na routeri pre LAN prevádzku injektovanú útočníkom

• remote.bin – peer-to-peer VPN klient, ktorý vytvára komunikačné kanály so vzdialenou infraštruktúrou C2

• dkupdate.bin – modul aktualizačného a watchdog, ktorý zabezpečuje trvalosť a dostupnosť všetkých komponentov

Zber poverení prostredníctvom inline dešifrovania

DKnife obsahuje špeciálnu funkcionalitu pre krádež poverení, ktorá je zameraná najmä na významného čínskeho poskytovateľa e-mailových služieb. Modul sslmm.bin poskytuje klientom certifikáty TLS ovládané útočníkom, ukončuje a dešifruje pripojenia POP3 a IMAP a kontroluje výslednú prevádzku v otvorenom texte, aby extrahoval používateľské mená a heslá. Získané poverenia sú zodpovedajúcim spôsobom označené, odovzdané súboru postapi.bin a prenášané na vzdialené servery C2 na zhromažďovanie a analýzu.

Hĺbková inšpekcia paketov ako nástroj na umožnenie útoku

Srdcom frameworku je súbor dknife.bin, ktorý umožňuje rozsiahlu hĺbkovú kontrolu paketov a analýzu prevádzky v reálnom čase. Táto funkcia umožňuje operátorom plynule prechádzať medzi pasívnym monitorovaním a aktívnymi inline útokmi vrátane nahradenia legitímneho sťahovania softvéru škodlivým dátovým zaťažením.

Kľúčové operačné schopnosti

• Distribúcia aktualizovaných konfigurácií C2 pre varianty malvéru DarkNimbus pre systémy Android a Windows
• Únosy založené na DNS cez IPv4 aj IPv6 s cieľom presmerovať prevádzku spojenú s doménami súvisiacimi s JD.com
• Zachytávanie a nahrádzanie aktualizácií aplikácií pre systém Android pre čínske spravodajstvo, streamovanie médií, úpravu obrázkov, elektronický obchod, prepravu, hranie hier a platformy pre videá pre dospelých
• Únos systému Windows a iných binárnych súborov na stiahnutie s cieľom doručiť zadné vrátka ShadowPad prostredníctvom bočného načítavania DLL a následného načítania DarkNimbusu.
• Prerušenie komunikácie z antivírusového softvéru a softvéru na správu systému vrátane produktov od spoločností 360 a Tencent
• Monitorovanie správania používateľov v reálnom čase, kategorizované podľa aktivít, ako sú posielanie správ, hlasové a videohovory, nakupovanie, sledovanie správ, vyhľadávanie máp, streamovanie, hranie hier, zoznamovanie, zdieľanie jázd a používanie e-mailov

Dôsledky pre zabezpečenie sieťového okraja

Routery a edge zariadenia naďalej predstavujú vysokohodnotné ciele v pokročilých, cielených intruzných kampaniach. Keďže sa útočníci čoraz viac zameriavajú na túto vrstvu infraštruktúry, stáva sa nevyhnutným prehľad o nástrojoch a technikách, ktoré používajú. Odhalenie frameworku DKnife podčiarkuje vyspelosť moderných hrozieb AitM, ktoré kombinujú hĺbkovú kontrolu paketov, manipuláciu s prevádzkou a prispôsobené doručovanie škodlivého softvéru s cieľom ohroziť širokú škálu typov zariadení vo veľkom meradle.