DKnife: framework AitM chino que compromete routers

Investigadores en ciberseguridad han revelado los detalles de DKnife, un sofisticado framework de monitorización de pasarelas y ataques de Adversario en el Medio (AitM, por sus siglas en inglés), que ha sido operado por actores de amenazas con vínculos a China al menos desde el año 2019. Esta herramienta representa una evolución significativa en las campañas de ciberespionaje, al enfocarse directamente en routers y dispositivos edge como punto central de compromiso.

A diferencia del malware tradicional orientado a endpoints, DKnife está diseñado para operar de forma persistente y sigilosa dentro de la infraestructura de red, permitiendo a los atacantes observar, manipular y redirigir el tráfico sin levantar sospechas.

Un framework modular orientado a routers y dispositivos edge

El framework DKnife está compuesto por siete implantes basados en Linux, diseñados específicamente para ejecutarse en routers, gateways y dispositivos de borde. Estos componentes trabajan de forma modular para ofrecer capacidades avanzadas como:

• Inspección profunda de paquetes (DPI)
• Manipulación activa del tráfico
• Secuestro de DNS
• Intercepción de conexiones cifradas
• Distribución selectiva de malware

Según Cisco Talos, los ataques de DKnife apuntan a una amplia variedad de dispositivos, incluidos PCs, dispositivos móviles y dispositivos de Internet de las Cosas (IoT), lo que amplía significativamente la superficie de ataque.

Fuerte enfoque en usuarios de habla china

Uno de los aspectos más relevantes del análisis es que DKnife parece estar dirigido principalmente a usuarios de habla china. Esta conclusión se basa en múltiples indicadores técnicos, entre ellos:

• Páginas de phishing diseñadas para recolectar credenciales de servicios de correo electrónico chinos
• Módulos específicos para exfiltrar datos de aplicaciones populares como WeChat
• Referencias en el código a dominios de medios de comunicación chinos
• Secuestro de actualizaciones de aplicaciones utilizadas mayoritariamente en China

No obstante, los investigadores advierten que esta segmentación podría ser solo una parte de una infraestructura más amplia, ya que se identificó un único servidor de comando y control (C2) que contenía archivos de configuración, lo que sugiere la posible existencia de otros C2 con objetivos regionales diferentes.

Vínculos con grupos APT alineados con China

Cisco Talos descubrió DKnife durante la monitorización continua de un clúster de actividad chino denominado Earth Minotaur, previamente vinculado al kit de explotación MOONSHINE y a la puerta trasera DarkNimbus (también conocida como DarkNights).

De forma especialmente relevante, se identificaron conexiones infraestructurales entre DKnife y WizardNet, un implante de Windows utilizado por el grupo APT chino TheWizards, que también opera un framework AitM denominado Spellbinder, documentado por ESET en abril de 2025.

TheWizards es conocido por atacar a individuos y al sector del juego en regiones como China continental, Hong Kong, Camboya, Filipinas y Emiratos Árabes Unidos, lo que refuerza la hipótesis de una colaboración o reutilización de infraestructura entre distintos actores APT alineados con intereses estatales chinos.

Arquitectura técnica del framework DKnife

• DKnife se entrega mediante un descargador ELF y contiene los siguientes siete módulos principales:
• dknife.bin: el núcleo del framework. Realiza inspección profunda de paquetes, secuestro de DNS, notificación de actividad del usuario y reemplazo de descargas legítimas.
• postapi.bin: módulo de reporte que actúa como intermediario entre DKnife y los servidores C2.
• sslmm.bin: proxy inverso basado en HAProxy modificado, encargado de la terminación TLS, descifrado de tráfico de correo electrónico y redireccionamiento de URLs.
• mmdown.bin: módulo actualizador que descarga archivos APK desde servidores C2 codificados.
• yitiji.bin: módulo de reenvío de paquetes que crea una interfaz TAP para inyectar tráfico en la red local.
• remote.bin: cliente VPN P2P que establece un canal persistente con el C2 remoto.
• dkupdate.bin: módulo de mantenimiento que garantiza la persistencia y actualización del framework.

Robo de credenciales y manipulación de tráfico cifrado

Uno de los aspectos más preocupantes de DKnife es su capacidad para interceptar tráfico cifrado. El módulo sslmm.bin presenta su propio certificado TLS a las víctimas, permitiendo terminar y descifrar conexiones POP3 e IMAP.

Una vez descifrado el tráfico, el framework inspecciona los flujos de texto plano para extraer nombres de usuario y contraseñas, que son etiquetadas explícitamente como "CONTRASEÑA" y enviadas al servidor C2 a través del módulo postapi.bin.

Secuestro de actualizaciones y entrega de malware

El componente central dknife.bin permite a los atacantes llevar a cabo ataques activos, entre ellos:

• Distribución de variantes de DarkNimbus para Android y Windows
• Secuestro DNS sobre IPv4 e IPv6 para redirigir dominios legítimos
• Reemplazo de actualizaciones de aplicaciones Android populares
• Secuestro de descargas binarias de Windows para entregar ShadowPad mediante carga lateral de DLL
• Interferencia con productos antivirus y herramientas de gestión de PC
• Monitorización en tiempo real de la actividad del usuario

Estas capacidades convierten a DKnife en una plataforma de ciberespionaje extremadamente flexible, capaz de adaptar la carga maliciosa según el perfil del objetivo.

Routers y edge: el nuevo frente del ciberespionaje

Cisco Talos concluye que los routers y dispositivos edge siguen siendo objetivos prioritarios en campañas de ataques dirigidos. Su posición estratégica dentro de la red los convierte en plataformas ideales para espionaje persistente, manipulación de tráfico y distribución encubierta de malware.

El descubrimiento de DKnife pone de manifiesto la sofisticación creciente de las amenazas AitM modernas, que combinan inspección profunda de paquetes, manipulación activa del tráfico y entrega personalizada de malware a escala masiva.

Comprender este tipo de herramientas y las tácticas, técnicas y procedimientos (TTP) asociados es fundamental para proteger infraestructuras críticas frente a actores de amenazas avanzadas y altamente persistentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login