Китайская платформа DKnife используется для атак на роутеры
3 мин
17
Платформа DKnife использует компоненты, анализирующие сетевые пакеты, перехватывающие трафик и распространяющие вредоносное ПО через роутеры и граничные устройства. Обнаружившие её специалисты Cisco Talos считают, что инструмент используют как минимум с 2019 года, в частности, он мог применяться хакерами, связанным с Китаем. По состоянию на январь 2026 года серверы управления оставались активными.
DKnife — это семь ELF-компонентов, манипулирующих трафиком в целевой сети. В комплекте идут конфигурационные файлы, самоподписанные сертификаты, фишинговые шаблоны, поддельные HTTP-ответы, лог-файлы и бэкдоры. Платформа работает с бэкдорами, обслуживает серверы управления для их обновления, перехватывает DNS-запросы, подменяет обновления Android-приложений и загрузки программ, распространяет ShadowPad и DarkNimbus, нарушает работу трафика антивирусных программ и отправляет информацию о действиях пользователей на удалённые серверы.
Файлы DKnife — это 64-битные программы для Linux в формате ELF. Один из компонентов использует библиотеку libcrypto.so.10, что указывает на платформы CentOS или RHEL. Настройки включают PPPoE, VLAN-теги, мостовой интерфейс и настраиваемые параметры MTU и MAC. Это говорит о том, что инструмент разработан для граничных устройств или роутеров с прошивкой на базе Linux.
Атаки направлены на компьютеры, смартфоны, IoT-девайсы. Платформа распространяет бэкдоры ShadowPad и DarkNimbus, подменяя загрузки программ и обновления Android-приложений. Основная цель — китаеязычные пользователи. Об этом говорит сбор учётных данных от китайских сервисов, модули для кражи данных из WeChat и других местных мессенджеров.
Исследователи нашли связь с кампанией с использованием бэкдора WizardNet. Последний распространялся через другую платформу — Spellbinder. Вероятно, у инструментов общее происхождение, или операторы работают совместно.
Talos отслеживает эксплойт-кит MOONSHINE и бэкдор DarkNimbus с 2023 года. Раньше их использовали для атак на Android и iOS. При поиске образцов DarkNimbus нашёлся ELF-файл, который связывался с тем же сервером управления и загружал архив. Внутри оказалась полноценная платформа для мониторинга шлюзов и атак с перехватом данных.
При анализе серверной инфраструктуры обнаружились дополнительные серверы с похожими настройками. Один хост показывал активность портов, характерную для DKnife, а на порту 8881 размещался WizardNet. Компания ESET описала WizardNet в апреле 2025 года. Бэкдор распространяется через Spellbinder, которая проводит атаки с подменой настроек IPv6. Методы Spellbinder похожи на DKnife: обе платформы перехватывают запросы на обновления и отправляют поддельные ответы с перенаправлением на вредоносные адреса. Пути перенаправления и настройки портов совпадают полностью.
В DKnife есть несколько признаков того, что разработчики владеют упрощённым китайским языком. Комментарии в конфигурационных файлах написаны на китайском. Один компонент называется yitiji.bin — это пиньинь для китайских иероглифов, означающих «всё в одном». В коде при отправке отчётов на сервер управления обнаруживается много сообщений на упрощённом китайском для обозначения типов активности.
