DKnife AitM оквир

Истраживачи сајбер безбедности открили су софистицирани оквир за праћење пролаза и борбу против противника у средини (AitM) познат као DKnife, који се приписује актерима претњи из кинеске мреже и активан је најмање од 2019. године. Оквир је наменски направљен за рад на рубу мреже, омогућавајући тајну инспекцију саобраћаја, манипулацију и испоруку злонамерног софтвера путем компромитованих рутера и уређаја на рубу мреже.

Стратешко циљање корисника који говоре кинески језик

Изгледа да DKnife првенствено циља кориснике који говоре кинески. Ову процену поткрепљују вишеструки индикатори, укључујући фишинг странице прилагођене кинеским провајдерима е-поште, модуле за крађу података фокусиране на широко коришћене кинеске мобилне апликације као што је WeChat и чврсто кодиране референце на кинеске медијске домене унутар изворног кода. Истраживачи, међутим, упозоравају да се овај закључак заснива на конфигурационим датотекама преузетим са једног Командно-контролног (C2) сервера, остављајући отворену могућност паралелних инфраструктура прилагођених другим регионима.

Везе са широм претњом повезаном са Кином

Овај фрејмворк је откривен током истраге ширег кинеског кластера претњи праћеног као Earth Minotaur, који је повезан са MOONSHINE експлоит комплетом и задњим вратима DarkNimbus (такође познатим као DarkNights). Приметно је да је DarkNimbus такође применила још једна напредна група за сталне претње повезана са Кином, позната као TheWizards.

Анализа инфраструктуре открила је преклапања између DKnife-а и WizardNet-а, Windows имплантата који користе TheWizards и испоручују путем AitM оквира под називом Spellbinder, јавно документованог у априлу 2025. године. Ове везе су значајне с обзиром на познато циљање TheWizards-а на појединце и ентитете повезане са коцкањем широм Камбоџе, Хонг Конга, континенталне Кине, Филипина и Уједињених Арапских Емирата.

Модуларна архитектура фокусирана на Линукс

За разлику од WizardNet-а, DKnife је посебно дизајниран за окружења заснована на Linux-у, што га чини веома погодним за имплементацију на рутерима и edge уређајима. Оквир се испоручује путем ELF програма за преузимање и користи модуларни дизајн који омогућава оператерима да селективно омогуће могућности у распону од прослеђивања пакета до потпуног пресретања и манипулације саобраћајем.

Компоненте DKnife Framework-а

• dknife.bin – Основни модул одговоран за дубинску инспекцију пакета, праћење активности корисника, отмицу DNS-а и отмицу бинарних датотека приликом преузимања.
• postapi.bin – Релеј за извештавање који прима прикупљене податке од DKnife-а и прослеђује их удаљеним C2 серверима
• sslmm.bin – Модификовани HAProxy реверзни прокси који се користи за TLS прекид, дешифровање имејлова и преусмеравање URL-ова

• mmdown.bin – Ажурирање које се повезује са чврсто кодираним C2 сервером ради преузимања злонамерних Андроид APK датотека

• yitiji.bin – Преусмеравач пакета који креира премошћени TAP интерфејс на рутеру за LAN саобраћај који су убацили нападачи

• remote.bin – Peer-to-peer VPN клијент који успоставља комуникационе канале са удаљеном C2 инфраструктуром

• dkupdate.bin – Модул за ажурирање и надзор који обезбеђује постојаност и доступност свих компоненти

Прикупљање акредитива путем инлајн дешифровања

DKnife укључује наменску функционалност за крађу акредитива, посебно усмерену на великог кинеског провајдера е-поште. Модул sslmm.bin представља клијентима TLS сертификате које контролише нападач, прекида и дешифрује POP3 и IMAP везе и прегледа резултујући саобраћај у отвореном тексту како би извукао корисничка имена и лозинке. Прикупљени акредитиви се сходно томе означавају, прослеђују се на postapi.bin и преносе на удаљене C2 сервере ради прикупљања и анализе.

Дубинска инспекција пакета као омогућавач напада

У сржи оквира налази се dknife.bin, који омогућава опсежну дубинску инспекцију пакета и анализу саобраћаја у реалном времену. Ова могућност омогућава оператерима да беспрекорно прелазе између пасивног праћења и активних напада, укључујући замену легитимних преузимања софтвера злонамерним корисним теретом.

Кључне оперативне способности

• Дистрибуција ажурираних C2 конфигурација за Андроид и Виндоус варијанте злонамерног софтвера DarkNimbus
• Отимање података засновано на DNS-у преко IPv4 и IPv6 домена ради преусмеравања саобраћаја повезаног са доменима повезаним са JD.com
• Пресретање и замена ажурирања Андроид апликација за кинеске вести, стримовање медија, уређивање слика, е-трговину, превоз путника, игре и платформе за видео записе за одрасле
• Отимање Windows-а и других бинарних преузимања ради испоруке задњег врата ShadowPad-а путем бочног учитавања DLL-а, а затим учитавање DarkNimbus-а
• Прекид комуникације од стране антивирусног софтвера и софтвера за управљање системом, укључујући производе компанија 360 и Tencent
• Праћење понашања корисника у реалном времену, категоризовано по активностима као што су слање порука, гласовни и видео позиви, куповина, праћење вести, претрага мапа, стримовање, играње игара, упознавање, дељење вожње и коришћење е-поште

Импликације за безбедност мрежне ивице

Рутери и уређаји на рубу мреже и даље представљају вредне мете у напредним, циљаним кампањама упада. Како се актери претњи све више фокусирају на овај слој инфраструктуре, видљивост алата и техника које користе постаје неопходна. Откривеност DKnife оквира наглашава зрелост модерних AitM претњи, које комбинују дубинску инспекцију пакета, манипулацију саобраћајем и прилагођену испоруку злонамерног софтвера како би угрозиле широк спектар типова уређаја у великим размерама.