Исследователи из Cisco Talos, в частности эксперт Эшли Шен, раскрыли детали масштабной операции с использованием вредоносного фреймворка DKnife. Эта сложная архитектура класса «человек посередине» (Adversary-in-the-Middle, AitM) предназначена для мониторинга шлюзов и активна как минимум с 2019 года. DKnife ориентирован на устройства под управлением Linux, главным образом на маршрутизаторы и периферийное оборудование, выполняя глубокую инспекцию пакетов (DPI), манипулирование трафиком и доставку вредоносного ПО. Основной вектор атак направлен на компрометацию роутеров, которые затем используются для проникновения на ПК, мобильные устройства и IoT-гаджеты.
За этой активностью стоят хакерские группы, связанные с Китаем (China-nexus). Основным оператором считается кластер Earth Minotaur, также использующий набор эксплойтов MOONSHINE и бэкдор DarkNimbus (известный как DarkNights). Инфраструктура DKnife также имеет пересечения с группировкой TheWizards: IP-адреса, использованные в кампании, привели к хостингу WizardNet — импланта для Windows. Развертывание WizardNet осуществляется через AitM-фреймворк Spellbinder, который был описан в отчете ESET от апреля 2025 года. Эти связи подтверждают тесное сотрудничество между различными прокитайскими APT-группами.
География атак, связанных с группировкой TheWizards, охватывает Камбоджу, Гонконг, материковый Китай, Филиппины и Объединенные Арабские Эмираты. Основной целью являются китайскоязычные пользователи, на что указывают фишинговые страницы для китайских почтовых сервисов, модули эксфильтрации данных для WeChat и ссылки на китайские медиа-домены в коде. Помимо отдельных лиц, под прицелом злоумышленников находится сектор азартных игр. Текущие выводы основаны на конфигурации одного командного сервера (C2), однако архитектура позволяет масштабировать атаки на другие регионы.
Технически DKnife доставляется через загрузчик ELF и состоит из семи модульных компонентов. Центральным элементом, выполняющим роль «нервной системы», является модуль dknife.bin. Он отвечает за глубокую инспекцию пакетов, отчетность об активности пользователя, перехват загрузки бинарных файлов и подмену DNS. Данные, собранные системой, передаются на удаленный C2-сервер через модуль-репортер postapi.bin. Для обеспечения скрытного канала связи используется модуль remote.bin, функционирующий как P2P VPN-клиент.
Для перехвата и маршрутизации трафика злоумышленники используют специализированные инструменты. Модуль yitiji.bin создает на зараженном роутере мостовой интерфейс TAP, направляя трафик локальной сети через контролируемые хакерами узлы. Особую роль играет sslmm.bin — модифицированная версия HAProxy, выполняющая функцию обратного прокси. Этот компонент осуществляет терминацию TLS, расшифровку электронной почты и перенаправление URL-адресов, подставляя собственные сертификаты для атак на зашифрованные соединения.
Система поддерживает свою работоспособность и актуальность с помощью двух дополнительных модулей. mmdown.bin служит для обновлений и соединяется с жестко закодированным C2-сервером для загрузки вредоносных APK-файлов. Модуль dkupdate.bin работает как сторожевой таймер (watchdog), обеспечивая непрерывную работу всех компонентов фреймворка. Такая структура позволяет злоумышленникам гибко управлять зараженными устройствами и адаптировать атаки под конкретные цели.
Одной из ключевых возможностей DKnife является сбор учетных данных. Фреймворк перехватывает соединения по протоколам POP3 и IMAP, расшифровывает их и анализирует потоки открытого текста. При обнаружении данных, помеченных тегом "PASSWORD", информация немедленно отправляется через postapi.bin на командный сервер. В основном атака нацелена на учетные записи крупных китайских почтовых провайдеров.
Манипуляция трафиком включает в себя подмену DNS (используются IPv4 и IPv6) для перенаправления запросов к доменам, связанным с . Особую опасность представляет перехват манифестов обновлений Android: легитимные приложения заменяются вредоносным ПО. В список целевых категорий входят китайские новостные ресурсы, видеостриминги, фоторедакторы, службы такси, игры, приложения для электронной коммерции и порнографические сервисы. Также осуществляется подмена бинарных файлов Windows на основе заранее заданных правил.
Цепочка доставки вредоносного ПО использует методы активных атак «в разрыв» (in-line). Вместо запрашиваемых файлов жертвам отправляются пейлоады, использующие технику DLL side-loading для запуска бэкдора ShadowPad. ShadowPad, в свою очередь, загружает бэкдор DarkNimbus. Для защиты от обнаружения DKnife активно вмешивается в работу антивирусных продуктов и систем управления ПК, блокируя коммуникации сервисов 360 Total Security и Tencent.
Изображение носит иллюстративный характер
За этой активностью стоят хакерские группы, связанные с Китаем (China-nexus). Основным оператором считается кластер Earth Minotaur, также использующий набор эксплойтов MOONSHINE и бэкдор DarkNimbus (известный как DarkNights). Инфраструктура DKnife также имеет пересечения с группировкой TheWizards: IP-адреса, использованные в кампании, привели к хостингу WizardNet — импланта для Windows. Развертывание WizardNet осуществляется через AitM-фреймворк Spellbinder, который был описан в отчете ESET от апреля 2025 года. Эти связи подтверждают тесное сотрудничество между различными прокитайскими APT-группами.
География атак, связанных с группировкой TheWizards, охватывает Камбоджу, Гонконг, материковый Китай, Филиппины и Объединенные Арабские Эмираты. Основной целью являются китайскоязычные пользователи, на что указывают фишинговые страницы для китайских почтовых сервисов, модули эксфильтрации данных для WeChat и ссылки на китайские медиа-домены в коде. Помимо отдельных лиц, под прицелом злоумышленников находится сектор азартных игр. Текущие выводы основаны на конфигурации одного командного сервера (C2), однако архитектура позволяет масштабировать атаки на другие регионы.
Технически DKnife доставляется через загрузчик ELF и состоит из семи модульных компонентов. Центральным элементом, выполняющим роль «нервной системы», является модуль dknife.bin. Он отвечает за глубокую инспекцию пакетов, отчетность об активности пользователя, перехват загрузки бинарных файлов и подмену DNS. Данные, собранные системой, передаются на удаленный C2-сервер через модуль-репортер postapi.bin. Для обеспечения скрытного канала связи используется модуль remote.bin, функционирующий как P2P VPN-клиент.
Для перехвата и маршрутизации трафика злоумышленники используют специализированные инструменты. Модуль yitiji.bin создает на зараженном роутере мостовой интерфейс TAP, направляя трафик локальной сети через контролируемые хакерами узлы. Особую роль играет sslmm.bin — модифицированная версия HAProxy, выполняющая функцию обратного прокси. Этот компонент осуществляет терминацию TLS, расшифровку электронной почты и перенаправление URL-адресов, подставляя собственные сертификаты для атак на зашифрованные соединения.
Система поддерживает свою работоспособность и актуальность с помощью двух дополнительных модулей. mmdown.bin служит для обновлений и соединяется с жестко закодированным C2-сервером для загрузки вредоносных APK-файлов. Модуль dkupdate.bin работает как сторожевой таймер (watchdog), обеспечивая непрерывную работу всех компонентов фреймворка. Такая структура позволяет злоумышленникам гибко управлять зараженными устройствами и адаптировать атаки под конкретные цели.
Одной из ключевых возможностей DKnife является сбор учетных данных. Фреймворк перехватывает соединения по протоколам POP3 и IMAP, расшифровывает их и анализирует потоки открытого текста. При обнаружении данных, помеченных тегом "PASSWORD", информация немедленно отправляется через postapi.bin на командный сервер. В основном атака нацелена на учетные записи крупных китайских почтовых провайдеров.
Манипуляция трафиком включает в себя подмену DNS (используются IPv4 и IPv6) для перенаправления запросов к доменам, связанным с . Особую опасность представляет перехват манифестов обновлений Android: легитимные приложения заменяются вредоносным ПО. В список целевых категорий входят китайские новостные ресурсы, видеостриминги, фоторедакторы, службы такси, игры, приложения для электронной коммерции и порнографические сервисы. Также осуществляется подмена бинарных файлов Windows на основе заранее заданных правил.
Цепочка доставки вредоносного ПО использует методы активных атак «в разрыв» (in-line). Вместо запрашиваемых файлов жертвам отправляются пейлоады, использующие технику DLL side-loading для запуска бэкдора ShadowPad. ShadowPad, в свою очередь, загружает бэкдор DarkNimbus. Для защиты от обнаружения DKnife активно вмешивается в работу антивирусных продуктов и систем управления ПК, блокируя коммуникации сервисов 360 Total Security и Tencent.
