Los investigadores de ciberseguridad han desvelado un marco de supervisión de puertas de enlace y adversario en el medio (AitM) denominado Dcuchillo que es operado por actores de amenazas del nexo con China desde al menos 2019.
El marco comprende siete implantes basados en Linux que están diseñados para realizar una inspección profunda de paquetes, manipular el tráfico y distribuir malware a través de enrutadores y dispositivos periféricos. Sus principales objetivos parecen ser los usuarios de habla china, una evaluación basada en la presencia de páginas de phishing de recolección de credenciales para servicios de correo electrónico chinos, módulos de exfiltración para aplicaciones móviles chinas populares como WeChat y referencias de códigos a dominios de medios chinos.
«Los ataques de DKnife se dirigen a una amplia gama de dispositivos, incluidos PC, dispositivos móviles y dispositivos de Internet de las cosas (IoT)», señaló Ashley Shen, investigadora de Cisco Talos, en un informe del jueves. «Ofrece e interactúa con las puertas traseras ShadowPad y DarkNimbus secuestrando descargas binarias y actualizaciones de aplicaciones de Android».
La compañía de ciberseguridad dijo que descubrió DKnife como parte de su monitoreo continuo de otro grupo de actividad de amenazas chino con nombre en código Earth Minotaur que está vinculado a herramientas como el kit de explotación MOONSHINE y la puerta trasera DarkNimbus (también conocida como DarkNights). Curiosamente, la puerta trasera también ha sido utilizada por un tercer grupo de amenazas persistentes avanzadas (APT) alineado con China llamado TheWizards.
Un análisis de la infraestructura de DKnife ha descubierto una dirección IP que aloja WizardNet, un implante de Windows implementado por TheWizards a través de un marco AitM conocido como Spellbinder. ESET documentó los detalles del kit de herramientas en abril de 2025.
Cisco dijo que apuntar a los usuarios de habla china depende del descubrimiento de archivos de configuración obtenidos de un único servidor de comando y control (C2), lo que plantea la posibilidad de que pueda haber otros servidores que alberguen configuraciones similares para diferentes objetivos regionales.
Esto es importante a la luz de las conexiones de infraestructura entre DKnife y WizardNet, ya que se sabe que TheWizards se dirige a individuos y al sector del juego en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.
 |
| Funciones de siete componentes de DKnife |
A diferencia de WizardNet, DKnife está diseñado para ejecutarse en dispositivos basados en Linux. Su arquitectura modular permite a los operadores realizar una amplia gama de funciones, que van desde el análisis de paquetes hasta la manipulación del tráfico. Entregado mediante un descargador ELF, contiene siete componentes diferentes:
- dknife.bin: el sistema nervioso central del marco responsable de la inspección profunda de paquetes, informes de actividades del usuario, secuestro de descargas binarias y secuestro de DNS.
- postapi.bin: un módulo de reporte de datos que actúa como un relé al recibir tráfico de DKnife e informar al C2 remoto.
- sslmm.bin: un módulo de proxy inverso modificado de HAProxy que realiza terminación TLS, descifrado de correo electrónico y redireccionamiento de URL.
- mmdown.bin: un módulo de actualización que se conecta a un servidor C2 codificado para descargar los APK utilizados para el ataque.
- yitiji.bin: un módulo de reenvío de paquetes que crea una interfaz TAP en puente en el enrutador para alojar y enrutar el tráfico LAN inyectado por el atacante.
- remote.bin: un módulo de cliente VPN peer-to-peer (P2P) que crea un canal de comunicación con el C2 remoto
- dkupdate.bin: un módulo de actualización y vigilancia que mantiene vivos los distintos componentes
«DKnife puede recopilar credenciales de un importante proveedor de correo electrónico chino y alojar páginas de phishing para otros servicios», afirmó Talos. «Para recopilar credenciales de correo electrónico, el componente sslmm.bin presenta su propio certificado TLS a los clientes, finaliza y descifra las conexiones POP3/IMAP e inspecciona el flujo de texto plano para extraer nombres de usuarios y contraseñas».
«Las credenciales extraídas se etiquetan con ‘CONTRASEÑA’, se reenvían al componente postapi.bin y, en última instancia, se retransmiten a servidores C2 remotos».
El componente central del marco es «dknife.bin», que se encarga de la inspección profunda de paquetes, permitiendo a los operadores realizar campañas de monitoreo de tráfico que van desde «monitoreo encubierto de la actividad del usuario hasta ataques activos en línea que reemplazan las descargas legítimas con cargas útiles maliciosas». Esto incluye –
- Sirviendo variantes C2 actualizadas para Android y Windows del malware DarkNimbus
- Realizar secuestro basado en el sistema de nombres de dominio (DNS) sobre IPv4 e IPv6 para facilitar redireccionamientos maliciosos para dominios relacionados con JD.com
- Secuestro y reemplazo de actualizaciones de aplicaciones de Android asociadas con medios de noticias chinos, transmisión de video, aplicaciones de edición de imágenes, plataformas de comercio electrónico, plataformas de servicios de taxi, juegos y aplicaciones de transmisión de video pornográfico mediante la interceptación de sus solicitudes de manifiesto de actualización.
- Secuestro de Windows y otras descargas binarias basadas en ciertas reglas preconfiguradas para entregar a través de DLL carga lateral de la puerta trasera ShadowPad, que luego carga DarkNimbus
- Interferir con las comunicaciones de productos antivirus y de administración de PC, incluidos los servicios 360 Total Security y Tencent.
- Monitorear la actividad del usuario en tiempo real e informarla al servidor C2
«Los enrutadores y los dispositivos periféricos siguen siendo objetivos principales en sofisticadas campañas de ataques dirigidos», dijo Talos. «A medida que los actores de amenazas intensifican sus esfuerzos para comprometer esta infraestructura, es fundamental comprender las herramientas y los TTP que emplean. El descubrimiento del marco DKnife destaca las capacidades avanzadas de las amenazas AitM modernas, que combinan inspección profunda de paquetes, manipulación de tráfico y entrega de malware personalizado en una amplia gama de tipos de dispositivos».