The Last 24 Hours | 安全无小事

与中国有关的 DKnife AitM 框架针对路由器进行流量劫持和恶意软件投放

2026/2/6 威胁情报 The Hacker News

网络安全研究人员揭开了一个名为 DKnife 的网关监控和中间人(AitM)框架的面纱,该框架自至少 2019 年起由与中国有关的威胁行为者运营。

该框架包括七个基于 Linux 的植入程序,旨在进行深度数据包检查、操纵流量,并通过路由器和边缘设备投放恶意软件。其主要目标似乎是使用中文的用户,这一判断基于针对中国电子邮件服务的凭证收集钓鱼页面、针对流行的中国移动应用(如微信)的数据外泄模块以及对中国媒体域名的代码引用。

Cisco Talos 研究员 Ashley Shen 在周四的报告中指出:“DKnife 的攻击针对包括 PC、移动设备和物联网(IoT)设备在内的广泛设备。它通过劫持二进制下载和 Android 应用更新,投放并与 ShadowPad 和 DarkNimbus 后门交互。”

该网络安全公司表示,在对另一个代号为 Earth Minotaur 的中国威胁活动集群进行持续监控时发现了 DKnife,该集群与 MOONSHINE 利用工具包和 DarkNimbus(亦称 DarkNights)后门等工具相关。有趣的是,该后门也被另一个与中国关联的高级持续性威胁(APT)组织 TheWizards 使用。

对 DKnife 基础设施的分析发现,一个 IP 地址托管了 WizardNet——由 TheWizards 通过名为 Spellbinder 的 AitM 框架部署的 Windows 植入程序。该工具包的细节已由 ESET 于 2025 年 4 月记录。

Cisco 表示,针对中文用户的攻击基于从单一指挥控制(C2)服务器获取的配置文件,这意味着可能还有其他服务器托管针对不同地区的类似配置。

这一点尤为重要,因为 DKnife 与 WizardNet 之间存在基础设施关联,而 TheWizards 已知针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人及博彩行业进行攻击。

七个 DKnife 组件的功能

与 WizardNet 不同,DKnife 设计在基于 Linux 的设备上运行。其模块化架构使操作者能够提供从数据包分析到流量操控的广泛功能。通过 ELF 下载器交付,它包含七个不同的组件——

  • dknife.bin - 框架的核心,负责深度数据包检查、用户活动报告、二进制下载劫持和 DNS 劫持
  • postapi.bin - 数据报告模块,作为中继接收来自 DKnife 的流量并向远程 C2 上报
  • sslmm.bin - 基于 HAProxy 修改的反向代理模块,执行 TLS 终止、邮件解密和 URL 重定向
  • mmdown.bin - 更新模块,连接硬编码的 C2 服务器下载用于攻击的 APK
  • yitiji.bin - 数据包转发模块,在路由器上创建桥接 TAP 接口,以承载并路由攻击者注入的局域网流量
  • remote.bin - 点对点(P2P)VPN 客户端模块,建立到远程 C2 的通信通道
  • dkupdate.bin - 更新和看门狗模块,保持各组件存活

Talos 表示:“DKnife 能从一家主要的中文电子邮件服务提供商获取凭证,并为其他服务托管钓鱼页面。为了收集电子邮件凭证,sslmm.bin 组件向客户端呈现自己的 TLS 证书,终止并解密 POP3/IMAP 连接,并检查明文流以提取用户名和密码。”

提取的凭证会被标记为‘PASSWORD’,转发给 postapi.bin 组件,最终传递到远程 C2 服务器。

框架的核心组件 dknife.bin 负责深度数据包检查,使操作者能够开展从‘隐蔽监控用户活动’到‘主动内联攻击——将合法下载替换为恶意载荷’的流量监控活动。这包括——

  • 为 Android 和 Windows 变体的 DarkNimbus 恶意软件提供更新的 C2
  • 在 IPv4 和 IPv6 上进行基于域名系统(DNS)的劫持,以实现对 JD.com 相关域名的恶意重定向
  • 劫持并替换与中国新闻媒体、视频流媒体、图像编辑、电子商务、打车服务、游戏及色情视频流媒体等相关的 Android 应用更新,通过拦截其更新清单请求实现
  • 根据预设规则劫持 Windows 及其他二进制下载,通过 DLL 侧加载方式投放 ShadowPad 后门,随后加载 DarkNimbus
  • 干扰来自杀毒和 PC 管理产品的通信,包括 360 Total Security 和腾讯服务
  • 实时监控用户活动并将其上报至 C2 服务器

Talos 表示:“路由器和边缘设备仍是高度针对性的攻击活动的主要目标。随着威胁行为者加大对这些基础设施的渗透力度,了解其使用的工具和战术、技术、程序(TTP)至关重要。DKnife 框架的发现凸显了现代 AitM 威胁的高级能力,这类威胁融合了深度数据包检查、流量操控和针对多种设备类型的定制化恶意软件投放。”