DKnife AitM 框架

网络安全研究人员披露了一种名为 DKnife 的复杂网关监控和中间人攻击 (AitM) 框架，该框架被认为与中国有关联的威胁行为者有关，并且至少从 2019 年起就已活跃。该框架专门用于在网络边缘运行，能够通过受感染的路由器和边缘设备进行隐蔽的流量检查、操纵和恶意软件传播。

针对中文用户的战略性目标定位

DKnife 似乎主要针对中文用户。多项指标支持这一判断，包括针对中国电子邮件服务商定制的钓鱼页面、针对微信等中国常用移动应用的数据窃取模块，以及源代码中硬编码的中国媒体域名。然而，研究人员提醒，这一结论仅基于从单个命令与控制 (C2) 服务器获取的配置文件，因此不排除存在针对其他地区的平行基础设施的可能性。

与更广泛的中国结盟威胁活动有关联

该框架是在对一个名为“地球弥诺陶”（Earth Minotaur）的更广泛的中国威胁集群进行调查时发现的，该集群与 MOONSHINE 漏洞利用工具包和 DarkNimbus（又名 DarkNights）后门程序有关。值得注意的是，另一个与中国结盟的高级持续性威胁组织“巫师”（TheWizards）也部署了 DarkNimbus。

基础设施分析揭示了 DKnife 与 WizardNet 之间的重叠之处。WizardNet 是 TheWizards 使用的一款 Windows 植入程序，通过名为 Spellbinder 的 AitM 框架进行部署，相关文档已于 2025 年 4 月公开。鉴于 TheWizards 已知针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人和赌博相关实体，这些关联意义重大。

以 Linux 为中心的模块化架构

与 WizardNet 不同，DKnife 专为 Linux 环境设计，因此非常适合部署在路由器和边缘设备上。该框架通过 ELF 下载器提供，并采用模块化设计，允许运营商选择性地启用从数据包转发到完全流量拦截和操控等各种功能。

DKnife框架组件

• dknife.bin – 负责深度包检测、用户活动监控、DNS劫持和二进制下载劫持的核心模块
• postapi.bin – 一个报告中继，它接收从 DKnife 收集的数据并将其转发到远程 C2 服务器。
• sslmm.bin – 一个修改过的 HAProxy 反向代理，用于 TLS 终止、电子邮件解密和 URL 重定向。

通过内联解密窃取凭证

DKnife 包含专门用于窃取凭证的功能，尤其针对一家大型中国电子邮件服务提供商。sslmm.bin 模块会向客户端提供攻击者控制的 TLS 证书，终止并解密 POP3 和 IMAP 连接，并检查生成的明文流量以提取用户名和密码。收集到的凭证会被相应地标记，传递给 postapi.bin，然后转发到远程 C2 服务器进行收集和分析。

深度包检测作为攻击手段

该框架的核心是 dknife.bin，它支持深度包检测和实时流量分析。这项功能使运营商能够在被动监控和主动内联攻击之间无缝切换，包括用恶意载荷替换合法的软件下载。

关键作战能力

• 向 DarkNimbus 恶意软件的 Android 和 Windows 版本分发更新后的 C2 配置
• 利用基于 DNS 的 IPv4 和 IPv6 劫持技术，重定向与京东相关的域名流量
• 拦截并替换中国新闻、流媒体、图像编辑、电子商务、网约车、游戏和成人视频平台的安卓应用程序更新
• 通过劫持 Windows 和其他二进制文件下载，利用 DLL 侧加载方式植入 ShadowPad 后门，随后加载 DarkNimbus。
• 包括360和腾讯产品在内的杀毒软件和系统管理软件导致通信中断。
• 实时监控用户行为，并按活动进行分类，例如消息传递、语音和视频通话、购物、新闻浏览、地图搜索、流媒体播放、游戏、约会、拼车和电子邮件使用。

对网络边缘安全的影响

路由器和边缘设备仍然是高级定向入侵攻击中的高价值目标。随着威胁行为者日益关注基础设施的这一层，了解他们使用的工具和技术变得至关重要。DKnife框架的曝光凸显了现代攻击入侵威胁的成熟度，这些威胁结合了深度包检测、流量操纵和定制恶意软件投放，能够大规模地入侵各种类型的设备。