Pesquisadores de cibersegurança revelaram um framework de monitoramento de gateways e ataques do tipo adversary-in-the-middle (AitM) chamado DKnife, empregado por atores ameaçadores ligados à China desde pelo menos 2019.
O DKnife é composto por sete implantes baseados em Linux que realizam deep packet inspection, manipulação de tráfego e entrega de malware por meio de roteadores e dispositivos de borda.
Seus principais alvos parecem ser usuários de língua chinesa, conforme indicam páginas de phishing para captura de credenciais de serviços de e-mail chineses, módulos de exfiltração ligados a apps populares da China, como o WeChat, e referências a domínios de mídia chineses no código.
A pesquisadora Ashley Shen, da Cisco Talos, destaca que o DKnife ataca uma ampla gama de dispositivos, incluindo PCs, dispositivos móveis e Internet das Coisas (IoT).
O framework distribui e interage com backdoors ShadowPad e DarkNimbus ao sequestrar downloads binários e atualizações de aplicativos Android.
A Cisco Talos identificou o DKnife durante o monitoramento de outra operação maliciosa chinesa chamada Earth Minotaur, associada a ferramentas como o kit de exploits MOONSHINE e o backdoor DarkNimbus (também conhecido como DarkNights).
Curiosamente, o DarkNimbus também é utilizado por um terceiro grupo APT alinhado à China, chamado TheWizards.
Uma análise da infraestrutura do DKnife revelou um endereço IP que hospeda o WizardNet, um implante para Windows implantado pelo TheWizards via um framework AitM chamado Spellbinder, detalhado pela ESET em abril de 2025.
O foco em usuários chineses fica evidente pelos arquivos de configuração obtidos em um servidor de comando e controle (C2), sugerindo a existência de outros servidores com configurações para diferentes regiões.
Essa ligação é relevante, visto que TheWizards atua contra indivíduos e o setor de jogos de azar no Camboja, Hong Kong, China Continental, Filipinas e Emirados Árabes Unidos.
Funções dos sete componentes do DKnife
Diferentemente do WizardNet, o DKnife foi desenvolvido para rodar em dispositivos Linux.
Sua arquitetura modular permite funções variadas, desde análise de pacotes até manipulação de tráfego.
Distribuído por meio de um downloader ELF, seus componentes são:
- **dknife.bin**: responsável pelo deep packet inspection, relatório das atividades do usuário, sequestro de downloads binários e redirecionamento DNS.
- **postapi.bin**: módulo de relatório de dados que recebe tráfego do DKnife e o reencaminha ao servidor C2 remoto.
- **sslmm.bin**: proxy reverso baseado no HAProxy, que executa terminação TLS, descriptografa e-mails e redireciona URLs.
- **mmdown.bin**: atualizador que conecta a um servidor C2 fixo para baixar APKs maliciosos.
- **yitiji.bin**: encaminhador de pacotes que cria uma interface TAP bridging no roteador para trafegar o tráfego injetado pelo atacante na LAN.
- **remote.bin**: cliente VPN P2P que estabelece o canal de comunicação com o C2 remoto.
- **dkupdate.bin**: módulo de atualização e watchdog que mantém os componentes ativos.
A Cisco Talos explica que o DKnife consegue capturar credenciais de um dos principais provedores de e-mail chineses e hospedar páginas de phishing para outros serviços.
O componente sslmm.bin gera um certificado TLS próprio, termina e descriptografa conexões POP3/IMAP para inspecionar fluxos em texto puro, extraindo usuários e senhas.
Essas credenciais são marcadas, encaminhadas ao postapi.bin e transmitidas aos servidores C2 remotos.
O núcleo do sistema, dknife.bin, realiza o deep packet inspection, permitindo desde monitoramento oculto de atividades até ataques de injeção ativa, substituindo downloads legítimos por payloads maliciosos.
Entre suas ações estão:
- Atualizar variantes do malware DarkNimbus para Android e Windows.
- Realizar sequestro de DNS em IPv4 e IPv6 para redirecionar domínios relacionados ao JD.com.
- Interceptar requisições de atualização de apps Android ligados a mídia chinesa, streaming de vídeo, edição de imagens, e-commerce, transporte, jogos e conteúdo adulto.
- Sequestrar downloads binários em Windows para entregar o backdoor ShadowPad via DLL side-loading, que carrega o DarkNimbus.
- Interferir na comunicação de antivírus e ferramentas de gerenciamento de PCs, como 360 Total Security e serviços da Tencent.
- Monitorar e reportar atividades do usuário em tempo real para os servidores C2.
Segundo a Talos, roteadores e dispositivos de borda continuam sendo alvos prioritários em campanhas sofisticadas.
Com o aumento dos ataques a essa infraestrutura, compreender as ferramentas e TTPs é essencial.
A descoberta do DKnife evidencia a complexidade dos ataques AitM atuais, que combinam deep packet inspection, manipulação de tráfego e entrega customizada de malware em diversos dispositivos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...