Los investigadores de ciberseguridad han desvelado un ámbito de supervisión de puertas de enlace y adversario en el medio (AitM) denominado Dcuchillo que es operado por actores de amenazas del vinculo con China desde al menos 2019.
El ámbito comprende siete implantes basados en Linux que están diseñados para realizar una inspección profunda de paquetes, manipular el tráfico y distribuir malware a través de enrutadores y dispositivos periféricos. Sus principales objetivos parecen ser los usuarios de palabra china, una evaluación basada en la presencia de páginas de phishing de monasterio de credenciales para servicios de correo electrónico chinos, módulos de exfiltración para aplicaciones móviles chinas populares como WeChat y referencias de códigos a dominios de medios chinos.
“Los ataques de DKnife se dirigen a una amplia tonalidad de dispositivos, incluidos PC, dispositivos móviles y dispositivos de Internet de las cosas (IoT)”, señaló Ashley Shen, investigadora de Cisco Talos, en un mensaje del jueves. “Ofrece e interactúa con las puertas traseras ShadowPad y DarkNimbus secuestrando descargas binarias y actualizaciones de aplicaciones de Android”.
La compañía de ciberseguridad dijo que descubrió DKnife como parte de su monitoreo continuo de otro especie de actividad de amenazas chino con nombre en código Earth Minotaur que está vinculado a herramientas como el kit de explotación MOONSHINE y la puerta trasera DarkNimbus (incluso conocida como DarkNights). Curiosamente, la puerta trasera incluso ha sido utilizada por un tercer especie de amenazas persistentes avanzadas (APT) adscrito con China llamado TheWizards.
Un observación de la infraestructura de DKnife ha descubierto una dirección IP que aloja WizardNet, un implante de Windows implementado por TheWizards a través de un ámbito AitM conocido como Spellbinder. ESET documentó los detalles del kit de herramientas en abril de 2025.
Cisco dijo que apuntar a los usuarios de palabra china depende del descubrimiento de archivos de configuración obtenidos de un único servidor de comando y control (C2), lo que plantea la posibilidad de que pueda activo otros servidores que alberguen configuraciones similares para diferentes objetivos regionales.
Esto es importante a la luz de las conexiones de infraestructura entre DKnife y WizardNet, ya que se sabe que TheWizards se dirige a individuos y al sector del colección en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.
 |
| Funciones de siete componentes de DKnife |
A diferencia de WizardNet, DKnife está diseñado para ejecutarse en dispositivos basados en Linux. Su cimentación modular permite a los operadores realizar una amplia tonalidad de funciones, que van desde el observación de paquetes hasta la manipulación del tráfico. Entregado mediante un descargador ELF, contiene siete componentes diferentes:
- dknife.bin: el sistema nervioso central del ámbito responsable de la inspección profunda de paquetes, informes de actividades del favorecido, secuestro de descargas binarias y secuestro de DNS.
- postapi.bin: un módulo de reporte de datos que actúa como un relé al percibir tráfico de DKnife e informar al C2 remoto.
- sslmm.bin: un módulo de proxy inverso modificado de HAProxy que realiza terminación TLS, descifrado de correo electrónico y redireccionamiento de URL.
- mmdown.bin: un módulo de aggiornamento que se conecta a un servidor C2 codificado para descargar los APK utilizados para el ataque.
- yitiji.bin: un módulo de reenvío de paquetes que crea una interfaz TAP en puente en el enrutador para penetrar y enrutar el tráfico LAN inyectado por el atacante.
- remote.bin: un módulo de cliente VPN peer-to-peer (P2P) que crea un canal de comunicación con el C2 remoto
- dkupdate.bin: un módulo de aggiornamento y vigilancia que mantiene vivos los distintos componentes
“DKnife puede compendiar credenciales de un importante proveedor de correo electrónico chino y penetrar páginas de phishing para otros servicios”, afirmó Talos. “Para compendiar credenciales de correo electrónico, el componente sslmm.bin presenta su propio certificado TLS a los clientes, finaliza y descifra las conexiones POP3/IMAP e inspecciona el flujo de texto plano para extraer nombres de usuarios y contraseñas”.
“Las credenciales extraídas se etiquetan con ‘CONTRASEÑA’, se reenvían al componente postapi.bin y, en última instancia, se retransmiten a servidores C2 remotos”.
El componente central del ámbito es “dknife.bin”, que se encarga de la inspección profunda de paquetes, permitiendo a los operadores realizar campañas de monitoreo de tráfico que van desde “monitoreo encubierto de la actividad del favorecido hasta ataques activos en raya que reemplazan las descargas legítimas con cargas avíos maliciosas”. Esto incluye –
- Sirviendo variantes C2 actualizadas para Android y Windows del malware DarkNimbus
- Realizar secuestro basado en el sistema de nombres de dominio (DNS) sobre IPv4 e IPv6 para proporcionar redireccionamientos maliciosos para dominios relacionados con JD.com
- Secuestro y reemplazo de actualizaciones de aplicaciones de Android asociadas con medios de informativo chinos, transmisión de video, aplicaciones de impresión de imágenes, plataformas de comercio electrónico, plataformas de servicios de taxi, juegos y aplicaciones de transmisión de video pornográfico mediante la interceptación de sus solicitudes de manifiesto de aggiornamento.
- Secuestro de Windows y otras descargas binarias basadas en ciertas reglas preconfiguradas para entregar a través de DLL carga vecino de la puerta trasera ShadowPad, que luego carga DarkNimbus
- Interferir con las comunicaciones de productos antivirus y de delegación de PC, incluidos los servicios 360 Total Security y Tencent.
- Monitorear la actividad del favorecido en tiempo positivo e informarla al servidor C2
“Los enrutadores y los dispositivos periféricos siguen siendo objetivos principales en sofisticadas campañas de ataques dirigidos”, dijo Talos. “A medida que los actores de amenazas intensifican sus esfuerzos para comprometer esta infraestructura, es fundamental comprender las herramientas y los TTP que emplean. El descubrimiento del ámbito DKnife destaca las capacidades avanzadas de las amenazas AitM modernas, que combinan inspección profunda de paquetes, manipulación de tráfico y entrega de malware personalizado en una amplia tonalidad de tipos de dispositivos”.
