DKnife: linuksowy framework AiTM przejmuje ruch na routerze, podgląda użytkowników i podmienia pliki na malware

Wprowadzenie do problemu / definicja luki

DKnife to odkryty przez Cisco Talos post-compromise framework dla Linuksa, który po przejęciu urządzenia brzegowego (router/gateway) pozwala atakującym działać jako adversary-in-the-middle (AiTM): monitorować ruch, wykonywać deep packet inspection, manipulować DNS i wstrzykiwać złośliwe odpowiedzi/treści tak, by ofiary pobierały podstawione pliki lub trafiały na strony phishingowe. najważniejsze jest to, iż punkt przechwycenia znajduje się „na krawędzi” sieci, zanim ruch dotrze do komputera czy telefonu ofiary.

W skrócie

• Talos ocenia, iż DKnife działa co najmniej od 2019 r. i jest powiązany z aktorem „China-nexus”.
• Framework składa się z siedmiu linuksowych komponentów (ELF) do DPI, manipulacji ruchem, kradzieży poświadczeń i dostarczania malware.
• W kampaniach łączony jest z backdoorami ShadowPad oraz DarkNimbus/DarkNights.
• Silnym wyróżnikiem są rozbudowane mechanizmy DNS hijackingu (IPv4 i IPv6) oraz reguły podmiany odpowiedzi dla wybranych domen/usług (m.in. chińskojęzycznych).

Kontekst / historia / powiązania

Z perspektywy operacji szpiegowskich DKnife wpisuje się w trend „edge device as a choke point”: przejęty router daje wgląd w ruch wielu urządzeń jednocześnie (PC, mobile, IoT) i umożliwia selektywne ataki bez konieczności instalacji czegokolwiek na każdej stacji roboczej. Talos wskazuje artefakty językowe (m.in. uproszczony chiński w nazwach/komentarzach) oraz ukierunkowanie na chińskie usługi jako argumenty za powiązaniem z aktorem z Chin.

Wątek DarkNimbus jest ważny, bo Trend Micro opisywał go wcześniej w kontekście klastra Earth Minotaur i ekosystemu narzędzi (np. MOONSHINE) do wieloplatformowej inwigilacji — DKnife pojawia się jako kolejna warstwa, tym razem na bramie sieciowej, wspierająca dostarczanie/obsługę backdoorów.

Analiza techniczna / szczegóły luki

1) DNS hijacking jako rdzeń AiTM (IPv4 + IPv6)

Talos opisuje, iż DKnife operuje na DNS w sposób konfigurowalny i wspiera zarówno A (IPv4), jak i AAAA (IPv6). Logika jest sterowana m.in. przez pliki konfiguracyjne dns.conf (globalne mapowania/reguły) oraz perdns.conf (zadania per-cel/kampania, z parametrami czasu).

Ciekawy (i praktyczny) detal: dla części scenariuszy DKnife zwraca „spreparowany” adres IPv6, a następnie mapuje go do lokalnego interfejsu (np. 10.3.3.3) utworzonego przez jeden z komponentów — co upraszcza przekierowanie ruchu do lokalnego „węzła” podmiany treści na routerze.

2) Reguły podmiany treści i phishingu

Talos wskazuje plik /dksoft/conf/url.cfg, który definiuje reguły blokowania/podmiany odpowiedzi (w tym phishing na Android/Windows), przechwytywanie pobrań binariów (np. .exe) oraz dopasowanie „request URL → response JSON”. To sugeruje architekturę „policy engine” do bardzo selektywnego atakowania konkretnych usług i ścieżek pobierania.

3) Dostarczanie i kooperacja z backdoorami

Z relacji Talos i opracowań medialnych wynika, iż DKnife potrafi przechwytywać pobieranie plików/aktualizacji (w tym aktualizacje aplikacji Android) i w ten sposób dostarczać lub aktualizować implanty, m.in. ShadowPad oraz DarkNimbus. To podbija skuteczność: ofiara „sama” inicjuje pobranie, a atakujący podmienia zawartość w locie.

Praktyczne konsekwencje / ryzyko

• Masowa ekspozycja w jednej sieci: przejęty router dotyka ruchu wielu urządzeń — choćby tych dobrze zabezpieczonych EDR-em, bo manipulacja dzieje się „przed” endpointem.
• Kradzież poświadczeń i phishing „zaufany”: DNS hijack + podmiana odpowiedzi pozwalają wyświetlać fałszywe loginy dla usług, na które użytkownik realnie wchodził.
• Ciche dostarczanie malware: podmiana binariów i aktualizacji (Windows/Android) zwiększa szansę infekcji bez klasycznego łańcucha socjotechnicznego.
• Trudniejsze śledztwo: ślady mogą wyglądać jak „problem z DNS” lub „dziwne przekierowania”, a nie klasyczna infekcja hosta.

Rekomendacje operacyjne / co zrobić teraz

1. Utrudnij przejęcie routera/gateway’a

• Weryfikuj ekspozycję paneli administracyjnych do Internetu, ogranicz zarządzanie do VPN/allowlist, egzekwuj MFA tam, gdzie możliwe.
• Aktualizuj firmware/OS urządzeń brzegowych i wyłącz zbędne usługi. (Tu DKnife jest „post-compromise”, więc prewencja dostępu początkowego jest krytyczna).

2. Wykrywaj symptomy AiTM

• Monitoruj anomalia DNS: nietypowe odpowiedzi A/AAAA, różne odpowiedzi w zależności od klienta, nagłe wzrosty NXDOMAIN/timeout.
• Koreluj ruch do domen aktualizacji i repozytoriów (Windows/Android/vendorzy) z niespodziewanymi adresami docelowymi.

3. Zabezpiecz kanały aktualizacji

• Tam, gdzie to realne: egzekwuj TLS inspection świadomie (albo unikaj), pinning, weryfikację podpisów, kontrolę sum i polityki „allow-only” dla repozytoriów aktualizacji. DKnife celuje w moment pobierania, więc walidacja integralności jest kluczowa.

4. Response: kiedy podejrzewasz kompromitację routera

• Traktuj gateway jako potencjalnie złośliwy: izoluj, zbierz artefakty, przeprowadź reprowizjonowanie/clean install, wymuś rotację haseł i tokenów, a następnie poluj na wtórne implanty na endpointach (ShadowPad/DarkNimbus).

Różnice / porównania z innymi przypadkami

DKnife jest blisko konceptu „lokalnego AiTM” znanego z narzędzi pokroju Spellbinder (opisywanego przez ESET), gdzie atakujący manipulują ruchem w sieci lokalnej i potrafią przekierowywać legalne aktualizacje na złośliwą infrastrukturę. Różnica jest taka, iż DKnife — wg Talos — wygląda na bardziej „frameworkowe” zaplecze na gateway’u z wieloma modułami (DPI, DNS, reguły odpowiedzi), ukierunkowane na długotrwałe operacje i obsługę kilku klas urządzeń.

Podsumowanie / najważniejsze wnioski

DKnife pokazuje, iż w 2026 r. routery i urządzenia brzegowe pozostają jednym z najbardziej opłacalnych celów dla kampanii szpiegowskich: jeden udany kompromis daje możliwość podsłuchu, phishingu i dystrybucji malware na szeroką skalę, często bez widocznych symptomów na endpointach. jeżeli w organizacji traktujesz routery jako „sprzęt od internetu”, a nie jako krytyczny element bezpieczeństwa, DKnife jest sygnałem, iż czas zmienić podejście — operacyjnie i monitoringowo.

Źródła / bibliografia

1. Cisco Talos – Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM framework (Cisco Talos Blog)
2. BleepingComputer – DKnife Linux toolkit hijacks router traffic to spy, deliver malware (6 lutego 2026) (BleepingComputer)
3. SecurityWeek – ‘DKnife’ Implant Used by Chinese Threat Actor for Adversary-in-the-Middle Attacks (6 lutego 2026) (SecurityWeek)
4. The Hacker News – China-Linked DKnife AitM Framework Targets Routers for Traffic Hijacking, Malware Delivery (6 lutego 2026) (The Hacker News)
5. Trend Micro – MOONSHINE Exploit Kit and DarkNimbus Backdoor Enabling Earth Minotaur’s Multi-Platform Attacks (5 grudnia 2024) (www.trendmicro.com)
6. ESET Research – TheWizards APT group uses SLAAC spoofing to perform adversary-in-the-middle attacks (30 kwietnia 2025) (welivesecurity.com)