Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Marco DKnife AitM

Marco DKnife AitM

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Investigadores de ciberseguridad han revelado un sofisticado marco de monitoreo de puertas de enlace y adversario en el medio (AitM) conocido como DKnife, atribuido a actores de amenazas con nexo con China y activo desde al menos 2019. El marco está diseñado específicamente para operar en el borde de la red, lo que permite la inspección encubierta del tráfico, la manipulación y la distribución de malware a través de enrutadores y dispositivos de borde comprometidos.

Segmentación estratégica de usuarios de habla china

DKnife parece dirigirse principalmente a usuarios de habla china. Esta evaluación se sustenta en múltiples indicadores, como páginas de phishing diseñadas para proveedores de correo electrónico chinos, módulos de exfiltración de datos centrados en aplicaciones móviles chinas de uso común, como WeChat, y referencias a dominios de medios chinos en el código fuente. Sin embargo, los investigadores advierten que esta conclusión se basa en archivos de configuración recuperados de un único servidor de Comando y Control (C2), lo que deja abierta la posibilidad de infraestructuras paralelas adaptadas a otras regiones.

Vínculos con actividades de amenaza más amplias alineadas con China

El framework se descubrió durante la investigación de un grupo de amenazas chino más amplio, identificado como Earth Minotaur, que se ha asociado con el kit de explotación MOONSHINE y la puerta trasera DarkNimbus (también conocida como DarkNights). Cabe destacar que DarkNimbus también ha sido implementado por otro grupo de amenazas persistentes avanzadas alineado con China, conocido como TheWizards.

El análisis de la infraestructura reveló superposiciones entre DKnife y WizardNet, un implante de Windows utilizado por TheWizards y distribuido a través de un marco AitM llamado Spellbinder, documentado públicamente en abril de 2025. Estas conexiones son significativas dado que se sabe que TheWizards se dirige a individuos y entidades relacionadas con los juegos de azar en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.

Una arquitectura modular centrada en Linux

A diferencia de WizardNet, DKnife está diseñado específicamente para entornos Linux, lo que lo hace ideal para su implementación en enrutadores y dispositivos de borde. El marco se entrega mediante un descargador ELF y utiliza un diseño modular que permite a los operadores habilitar selectivamente capacidades que van desde el reenvío de paquetes hasta la interceptación y manipulación completa del tráfico.

Componentes del marco DKnife

  • dknife.bin: el módulo principal responsable de la inspección profunda de paquetes, la monitorización de la actividad del usuario, el secuestro de DNS y el secuestro de descargas binarias.
  • postapi.bin: un relé de informes que recibe datos recopilados de DKnife y los envía a servidores C2 remotos
  • sslmm.bin: un proxy inverso HAProxy modificado que se utiliza para la terminación de TLS, el descifrado de correo electrónico y la redirección de URL
  • mmdown.bin: un actualizador que se conecta a un servidor C2 codificado para recuperar APK maliciosos de Android
  • yitiji.bin: un reenvío de paquetes que crea una interfaz TAP puenteada en el enrutador para el tráfico LAN inyectado por el atacante
  • remote.bin: un cliente VPN punto a punto que establece canales de comunicación con la infraestructura C2 remota
  • dkupdate.bin – Un módulo actualizador y de vigilancia que garantiza la persistencia y disponibilidad de todos los componentes

Recopilación de credenciales mediante descifrado en línea

DKnife incluye una funcionalidad dedicada al robo de credenciales, especialmente dirigida a un importante proveedor de correo electrónico chino. El módulo sslmm.bin presenta a los clientes certificados TLS controlados por el atacante, finaliza y descifra las conexiones POP3 e IMAP, e inspecciona el tráfico de texto plano resultante para extraer nombres de usuario y contraseñas. Las credenciales obtenidas se etiquetan como corresponde, se envían a postapi.bin y se retransmiten a servidores C2 remotos para su recopilación y análisis.

La inspección profunda de paquetes como facilitador de ataques

El núcleo del framework es dknife.bin, que permite una inspección exhaustiva de paquetes y análisis de tráfico en tiempo real. Esta capacidad permite a los operadores realizar una transición fluida entre la monitorización pasiva y los ataques activos en línea, incluyendo la sustitución de descargas de software legítimas por cargas maliciosas.

Capacidades operativas clave

  • Distribución de configuraciones C2 actualizadas para las variantes de Android y Windows del malware DarkNimbus
  • Secuestro basado en DNS sobre IPv4 e IPv6 para redirigir el tráfico asociado con dominios relacionados con JD.com
  • Interceptación y reemplazo de actualizaciones de aplicaciones de Android para plataformas chinas de noticias, transmisión multimedia, edición de imágenes, comercio electrónico, transporte, juegos y videos para adultos.
  • Secuestro de Windows y otras descargas binarias para entregar la puerta trasera ShadowPad a través de la carga lateral de DLL y, posteriormente, cargar DarkNimbus
  • Interrupción de las comunicaciones de software antivirus y de gestión del sistema, incluidos productos de 360 y Tencent
  • Monitoreo en tiempo real del comportamiento del usuario, categorizado en actividades como mensajería, llamadas de voz y video, compras, consumo de noticias, búsquedas en mapas, streaming, juegos, citas, viajes compartidos y uso del correo electrónico.

Implicaciones para la seguridad del borde de la red

Los enrutadores y dispositivos de borde siguen siendo objetivos de alto valor en campañas de intrusión avanzadas y dirigidas. A medida que los actores de amenazas se centran cada vez más en esta capa de infraestructura, la visibilidad de las herramientas y técnicas que emplean se vuelve esencial. La exposición del marco DKnife subraya la madurez de las amenazas AitM modernas, que combinan la inspección profunda de paquetes, la manipulación del tráfico y la distribución de malware a medida para comprometer una amplia gama de tipos de dispositivos a gran escala.

Tendencias

Un Método Actualizado Para Bloquear los Virus...

Seguridad informática
Un virus informático es un programa informático que no sólo suena desagradable, pero también es peligroso de tener en su sistema informático, no importa qué tipo de virus es, malware, adware, spyware, etc.. Cuando un nuevo virus informático invade el mundo de la informática en línea, hay menos probabilidad de que el software anti-virus del usuario sea capaz de ser lo suficientemente eficaz para...

Mas Visto

Cargando...