Toolkit DKnife Linux membajak lalu lintas router untuk memata-matai dan mengirimkan malware

Toolkit yang baru ditemukan bernama DKnife telah digunakan sejak tahun 2019 untuk membajak lalu lintas di tingkat perangkat edge dan mengirimkan malware dalam kampanye spionase.

Kerangka kerja ini berfungsi sebagai kerangka pasca-kompromi untuk pemantauan lalu lintas dan aktivitas musuh di tengah (AitM). Ini dirancang untuk mencegat dan memanipulasi lalu lintas yang ditujukan ke titik akhir (komputer, perangkat seluler, IoT) di jaringan.

Para peneliti di Cisco Talos mengatakan bahwa DKnife adalah kerangka kerja ELF dengan tujuh komponen berbasis Linux yang dirancang untuk inspeksi paket mendalam (DPI), manipulasi lalu lintas, pengumpulan kredensial, dan pengiriman malware.

Malware ini menampilkan artefak bahasa Mandarin Sederhana dalam nama komponen dan komentar kode, dan secara eksplisit menargetkan layanan Tiongkok seperti penyedia email, aplikasi seluler, domain media, dan pengguna WeChat.

Peneliti Talos menilai dengan keyakinan tinggi bahwa operator DKnife adalah aktor ancaman China-nexus.

Para peneliti tidak dapat menentukan bagaimana peralatan jaringan disusupi, namun menemukan bahwa DKnife mengirimkan dan berinteraksi dengan ShadowPad dan Nimbus Gelap pintu belakang, keduanya terkait dengan aktor ancaman Tiongkok.

DKnife terdiri dari tujuh modul, masing-masing bertanggung jawab atas aktivitas spesifik terkait komunikasi dengan server C2, menyampaikan atau mengubah lalu lintas, dan menyembunyikan asal lalu lintas berbahaya:

• dknife.bin – bertanggung jawab atas inspeksi paket dan logika serangan, juga melaporkan status serangan, aktivitas pengguna, dan mengirimkan data yang dikumpulkan
• postapi.bin – komponen relai antara server DKnife.bin dan C2
• slmm.bin – server proxy terbalik khusus yang berasal dari HAProxy
• yitiji.bin – Membuat antarmuka Ethernet virtual (TAP) pada router dan menjembataninya ke LAN untuk merutekan lalu lintas penyerang
• jarak jauh.bin – Klien VPN peer-to-peer menggunakan perangkat lunak n2n VPN
• mmdown.bin – pengunduh malware dan pembaru untuk file APK Android
• dkupdate.bin – DKnife mengunduh, menerapkan, dan memperbarui komponen

“Dia [DKnife’s] kemampuan utama termasuk menyajikan pembaruan C2 untuk pintu belakang, pembajakan DNS, pembajakan pembaruan aplikasi Android dan pengunduhan biner, mengirimkan pintu belakang ShadowPad dan DarkNimbus, secara selektif mengganggu lalu lintas produk keamanan dan menyaring aktivitas pengguna ke server C2 jarak jauh, “kata para peneliti dalam sebuah laporan minggu ini.

Setelah diinstal, DKnife menggunakannya yitiji.bin komponen untuk membuat antarmuka TAP yang dijembatani (perangkat jaringan virtual) pada router di alamat IP pribadi 10.3.3.3. Hal ini memungkinkan pelaku ancaman untuk mencegat dan menulis ulang paket jaringan saat transit ke host yang dituju.

Dengan cara ini, DKnife dapat digunakan untuk mengirimkan file APK berbahaya ke perangkat seluler atau sistem Windows di jaringan.

Peneliti Cisco mengamati DKnife menjatuhkan pintu belakang ShadowPad untuk Windows yang ditandatangani dengan sertifikat perusahaan Tiongkok. Tindakan ini diikuti dengan penerapan pintu belakang DarkNimbus. Pada perangkat Android, backdoor dikirimkan langsung oleh DKnife.

Pada infrastruktur yang sama yang terkait dengan aktivitas kerangka DKnife, para peneliti juga menemukan bahwa infrastruktur tersebut menjadi tuan rumah Pintu belakang WizardNetyang sebelumnya ditautkan oleh peneliti ESET ke kerangka Spellbinder AitM.

Selain pengiriman muatan, DKnife juga mampu:

• pembajakan DNS
• membajak pembaruan aplikasi Android
• membajak biner Windows
• Pengambilan kredensial melalui dekripsi POP3/IMAP
• Hosting halaman phishing
• Gangguan lalu lintas anti-virus
• memantau aktivitas pengguna, termasuk penggunaan aplikasi perpesanan (WeChat dan Signal), memetakan penggunaan aplikasi, konsumsi berita, aktivitas panggilan, layanan ride-hailing, dan belanja

Aktivitas WeChat dilacak secara lebih analitis, kata Cisco Talos, dengan pemantauan DKnife untuk panggilan suara dan video, pesan teks, gambar yang dikirim dan diterima, serta artikel yang dibaca di platform.

Peristiwa aktivitas pengguna pertama-tama dirutekan secara internal antara komponen DKnife dan kemudian dieksfiltrasi melalui permintaan HTTP POST ke titik akhir API perintah dan kontrol (C2) tertentu.

Karena DKnife berada di perangkat gateway dan melaporkan peristiwa saat paket melewatinya, DKnife memungkinkan pemantauan aktivitas pengguna dan pengumpulan data secara real time.

Hingga Januari 2026, server DKnife C2 masih aktif, kata para peneliti. Cisco Talos telah menerbitkan set lengkapnya indikator kompromi (IoCs) yang terkait dengan aktivitas ini.