Investigadores de ciberseguridad han revelado un marco de monitoreo de puertas de enlace y adversary-in-the-middle (AitM) denominado DKnife, operado por actores de amenazas vinculados a China desde al menos 2019.
El marco consta de siete implantes basados en Linux diseñados para realizar inspección profunda de paquetes, manipular tráfico y distribuir malware a través de routers y dispositivos periféricos. Sus objetivos principales parecen ser usuarios de habla china, según la presencia de páginas de phishing para servicios de correo electrónico chinos, módulos de exfiltración para aplicaciones móviles chinas populares como WeChat y referencias a dominios de medios chinos.
Los ataques de DKnife se dirigen a una amplia gama de dispositivos, incluidos PC, dispositivos móviles y dispositivos IoT. Entrega e interactúa con los backdoors ShadowPad y DarkNimbus al secuestrar descargas de binarios y actualizaciones de aplicaciones Android.
Cisco Talos informó que descubrió DKnife durante el monitoreo continuo de otro grupo de actividad de amenazas chino, denominado Earth Minotaur, vinculado a herramientas como el kit de exploits MOONSHINE y el backdoor DarkNimbus (también conocido como DarkNights). Curiosamente, este backdoor también ha sido utilizado por un tercer grupo APT alineado con China llamado TheWizards.
Un análisis de la infraestructura de DKnife reveló una dirección IP que aloja WizardNet, un implante Windows desplegado por TheWizards a través de un marco AitM llamado Spellbinder, cuyos detalles fueron documentados por ESET en abril de 2025.
Cisco señaló que la orientación a usuarios de habla china se basa en archivos de configuración obtenidos de un único servidor de comando y control (C2), lo que sugiere que podrían existir otros servidores con configuraciones similares para diferentes regiones. Esto es significativo dadas las conexiones infraestructurales entre DKnife y WizardNet, ya que TheWizards ataca a individuos y al sector de juegos de azar en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.
Componentes del marco DKnife
A diferencia de WizardNet, DKnife está diseñado para ejecutarse en dispositivos Linux. Su arquitectura modular permite a los operadores realizar diversas funciones, desde análisis de paquetes hasta manipulación de tráfico. Se entrega mediante un descargador ELF y contiene siete componentes:
- dknife.bin: El sistema nervioso central del marco, responsable de la inspección profunda de paquetes, reporte de actividad del usuario, secuestro de descargas binarias y secuestro de DNS.
- postapi.bin: Módulo de reportero de datos que actúa como relevo, recibiendo tráfico de DKnife y reportándolo al C2 remoto.
- sslmm.bin: Módulo proxy inverso modificado de HAProxy que realiza terminación TLS, descifrado de correo electrónico y redirección de URL.
- mmdown.bin: Módulo actualizador que se conecta a un servidor C2 fijo para descargar APKs utilizados en el ataque.
- yitiji.bin: Módulo de reenvío de paquetes que crea una interfaz TAP puenteada en el router para alojar y enrutar tráfico LAN inyectado por el atacante.
- remote.bin: Módulo cliente VPN peer-to-peer que crea un canal de comunicación con el C2 remoto.
- dkupdate.bin: Módulo actualizador y watchdog que mantiene vivos los diversos componentes.
Talos explicó que DKnife puede robar credenciales de un importante proveedor de correo electrónico chino y alojar páginas de phishing para otros servicios. Para ello, el componente sslmm.bin presenta su propio certificado TLS a los clientes, termina y descifra conexiones POP3/IMAP, e inspecciona el flujo de texto plano para extraer nombres de usuario y contraseñas. Las credenciales extraídas se etiquetan con 'PASSWORD', se envían al componente postapi.bin y finalmente se retransmiten a servidores C2 remotos.
El componente central es 'dknife.bin', que realiza inspección profunda de paquetes, permitiendo a los operadores llevar a cabo campañas de monitoreo de tráfico que van desde la vigilancia encubierta de la actividad del usuario hasta ataques activos en línea que reemplazan descargas legítimas con cargas maliciosas. Esto incluye:
- Servir C2 actualizado a variantes Android y Windows del malware DarkNimbus.
- Realizar secuestro basado en DNS sobre IPv4 e IPv6 para facilitar redireccionamientos maliciosos hacia dominios relacionados con JD.com.
- Secuestrar y reemplazar actualizaciones de aplicaciones Android asociadas con medios de noticias chinos, transmisión de video, aplicaciones de edición de imágenes, plataformas de comercio electrónico, servicios de taxis, juegos y transmisión de video pornográfico, interceptando sus solicitudes de manifiesto de actualización.
- Secuestrar descargas de binarios de Windows y otros según reglas preconfiguradas para entregar, mediante DLL side-loading, el backdoor ShadowPad, que luego carga DarkNimbus.
- Interferir con comunicaciones de productos antivirus y de gestión de PC, incluidos 360 Total Security y servicios de Tencent.
- Monitorear la actividad del usuario en tiempo real e informarla al servidor C2, categorizándola en grupos amplios como mensajería (incluyendo llamadas de voz/video, textos enviados, imágenes recibidas, visualización de artículos en aplicaciones como Signal y WeChat), compras, consumo de noticias, búsquedas en mapas, transmisión de video, juegos, citas, solicitudes de taxi y revisión de correo electrónico.
Los routers y dispositivos periféricos siguen siendo objetivos principales en campañas de ataques dirigidos sofisticados. A medida que los actores de amenazas intensifican sus esfuerzos para comprometer esta infraestructura, comprender las herramientas y TTP que emplean es crítico. El descubrimiento del marco DKnife resalta las capacidades avanzadas de las amenazas AitM modernas, que combinan inspección profunda de paquetes, manipulación de tráfico y distribución personalizada de malware en una amplia gama de tipos de dispositivos.
