Los investigadores de ciberseguridad han dado a conocer un marco de monitoreo de pasarelas y adversarios en el medio (AiTM) denominado Cuchillo D que es operado por actores de amenazas del nexo entre China y China desde al menos 2019.

El marco comprende siete implantes basados en Linux que están diseñados para realizar una inspección profunda de paquetes, manipular el tráfico y entregar malware a través de enrutadores y dispositivos periféricos. Sus objetivos principales parecen ser los usuarios de habla china, una evaluación basada en la presencia de páginas de suplantación de identidad para servicios de correo electrónico chinos para la recolección de credenciales, módulos de exfiltración para aplicaciones móviles populares de China, como WeChat, y referencias en código a dominios de medios chinos.

«Los ataques de dKnife se dirigen a una amplia gama de dispositivos, incluidos PC, dispositivos móviles y dispositivos de Internet de las cosas (IoT)», dijo Ashley Shen, investigadora de Cisco Talos apuntado en un informe del jueves. «Ofrece e interactúa con el ShadowPad y Nimbus oscuro puertas traseras mediante el secuestro de descargas binarias y actualizaciones de aplicaciones de Android».

La empresa de ciberseguridad dijo que descubrió dKnife como parte de su monitoreo continuo de otro grupo chino de actividades de amenazas con el nombre en código Earth Minotaur que está vinculado a herramientas como el El kit de exploits MOONSHINE y la puerta trasera DarkNimbus (también conocido como DarKnights) . Curiosamente, la puerta trasera también ha sido utilizada por un tercer grupo de amenazas persistentes avanzadas (APT) alineado con China llamado TheWizards.

adsense

Un análisis de la infraestructura de dKnife ha descubierto una dirección IP que aloja WizardNet, un implante de Windows implementado por Los magos a través de un marco AiTM denominado Spellbinder. ESET documentó los detalles del kit de herramientas en abril de 2025.

Según Cisco, la segmentación de los usuarios de habla china depende del descubrimiento de los archivos de configuración obtenidos de un único servidor de comando y control (C2), lo que aumenta la posibilidad de que haya otros servidores que alojen configuraciones similares para diferentes segmentaciones regionales.

Esto es importante a la luz de las conexiones infraestructurales entre dKnife y WizardNet, ya que se sabe que TheWizards se dirige a personas y al sector del juego en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.

Funciones de siete componentes de dKnife

A diferencia de WizardNet, dKnife está diseñado para ejecutarse en dispositivos basados en Linux. Su arquitectura modular permite a los operadores realizar una amplia gama de funciones, que van desde el análisis de paquetes hasta la manipulación del tráfico. Entregado mediante un descargador ELF, contiene siete componentes diferentes:

  • dknife.bin: el sistema nervioso central del marco responsable de la inspección profunda de paquetes, los informes de actividades de los usuarios, el secuestro de descargas binarias y el secuestro de DNS
  • postapi.bin: un módulo informador de datos que actúa como un relé al recibir el tráfico de DKnife e informar al C2 remoto
  • sslmm.bin: un módulo de proxy inverso modificado desde HAProxy que realiza la terminación de TLS, el descifrado del correo electrónico y el redireccionamiento de URL
  • mmdown.bin: un módulo de actualización que se conecta a un servidor C2 codificado para descargar los APK utilizados para el ataque
  • yitiji.bin: un módulo de reenvío de paquetes que crea un interfaz TAP puenteada en el router para alojar y enrutar el tráfico LAN inyectado por el atacante
  • remote.bin: un módulo de cliente VPN punto a punto (P2P) que crea un canal de comunicación con el C2 remoto
  • dkupdate.bin: un módulo actualizador y de vigilancia que mantiene vivos los distintos componentes

«DKnife puede recopilar credenciales de un importante proveedor de correo electrónico chino y alojar páginas de suplantación de identidad para otros servicios», afirma Talos. «Para recopilar las credenciales de correo electrónico, el componente sslmm.bin presenta su propio certificado TLS a los clientes, termina y descifra las conexiones POP3/IMAP e inspecciona el flujo de texto sin formato para extraer los nombres de usuario y las contraseñas».

«Las credenciales extraídas se etiquetan con 'CONTRASEÑA', se reenvían al componente postapi.bin y, en última instancia, se transmiten a los servidores C2 remotos».

enlaces

El componente principal del marco es "dknife.bin», que se encarga de la inspección profunda de los paquetes, lo que permite a los operadores llevar a cabo campañas de supervisión del tráfico que van desde «la supervisión encubierta de la actividad de los usuarios hasta ataques activos en línea que sustituyen las descargas legítimas por cargas maliciosas». Esto incluye:

  • Entrega de C2 actualizado a las variantes de Android y Windows del malware DarkNimbus
  • Realizar secuestros basados en el Sistema de Nombres de Dominio (DNS) a través de IPv4 e IPv6 para facilitar los redireccionamientos maliciosos de dominios relacionados con JD.com
  • Secuestrar y reemplazar las actualizaciones de aplicaciones de Android asociadas a los medios de comunicación chinos, la transmisión de vídeo, las aplicaciones de edición de imágenes, las plataformas de comercio electrónico, las plataformas de servicios de taxi y las aplicaciones de transmisión de vídeo de juegos y pornografía mediante la interceptación de sus solicitudes de manifiestos de actualización
  • Secuestrar Windows y otras descargas binarias basándose en ciertas reglas preconfiguradas para entregarlas mediante DLL cargando lateralmente el ShadowPad puerta trasera, que luego carga DarkNimbus
  • Interferir en las comunicaciones de los productos antivirus y de administración de PC, incluidos los servicios 360 Total Security y Tencent
  • Supervisar la actividad de los usuarios en tiempo real y reportarla al servidor C2

«Enrutadores y dispositivos periféricos siguen siendo objetivos principales en sofisticadas campañas de ataques dirigidos», dijo Talos. «A medida que los actores de amenazas intensifican sus esfuerzos para comprometer esta infraestructura, es fundamental comprender las herramientas y los TTP que emplean. El descubrimiento del marco dKnife pone de manifiesto las capacidades avanzadas de las modernas amenazas AITM, que combinan la inspección exhaustiva de paquetes, la manipulación del tráfico y la distribución personalizada de malware en una amplia gama de tipos de dispositivos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.