中国相关DKnife中间人攻击框架针对路由器进行流量劫持与恶意软件投放
网络安全研究人员披露了一个名为DKnife的网关监控和中间人攻击框架该框架自2019年以来一直由中国相关威胁行为者操作。该框架包含七个基于Linux的植入程序专门设计用于执行深度数据包检测、操纵流量并通过路由器和边缘设备投放恶意软件。其主要目标似乎是中文用户这一评估基于中国邮件服务的凭证收集钓鱼页面、针对微信等流行中国移动应用的数据窃取模块以及代码中对中国媒体域名的引用。思科Talos研究员Ashley Shen在周四的报告中指出DKnife的攻击目标涵盖广泛的设备包括个人电脑、移动设备和物联网设备。它通过劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序并与之交互。该网络安全公司表示他们在持续监控另一个代号为Earth Minotaur的中国威胁活动集群时发现了DKnife该集群与MOONSHINE漏洞利用工具包和DarkNimbus后门程序相关。有趣的是这个后门程序还被第三个中国相关的高级持续性威胁组织TheWizards使用。对DKnife基础设施的分析发现了一个托管WizardNet的IP地址这是TheWizards通过名为Spellbinder的中间人攻击框架部署的Windows植入程序。ESET在2025年4月记录了该工具包的详细信息。思科表示对中文用户的针对性攻击基于从单个命令控制服务器获得的配置文件发现这提出了可能存在其他服务器托管针对不同地区的类似配置的可能性。鉴于DKnife和WizardNet之间的基础设施连接这一点非常重要因为众所周知TheWizards针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人和博彩行业。与WizardNet不同DKnife专门设计在基于Linux的设备上运行。其模块化架构使操作者能够执行广泛的功能从数据包分析到流量操纵。通过ELF下载器投放它包含七个不同的组件dknife.bin - 框架的中央神经系统负责深度数据包检测、用户活动报告、二进制下载劫持和DNS劫持postapi.bin - 数据报告模块作为中继接收来自DKnife的流量并向远程命令控制服务器报告sslmm.bin - 从HAProxy修改的反向代理模块执行TLS终止、邮件解密和URL重定向mmdown.bin - 更新模块连接到硬编码的命令控制服务器下载用于攻击的APK文件yitiji.bin - 数据包转发模块在路由器上创建桥接TAP接口来托管和路由攻击者注入的局域网流量remote.bin - 点对点VPN客户端模块创建到远程命令控制服务器的通信通道dkupdate.bin - 更新和看门狗模块保持各种组件的运行状态Talos表示DKnife可以从主要中国邮件提供商收集凭证并为其他服务托管钓鱼页面。对于邮件凭证收集sslmm.bin组件向客户端出示自己的TLS证书终止并解密POP3/IMAP连接检查明文流以提取用户名和密码。提取的凭证被标记为PASSWORD转发给postapi.bin组件最终中继到远程命令控制服务器。框架的核心组件是dknife.bin负责深度数据包检测允许操作者进行从用户活动的隐蔽监控到用恶意载荷替换合法下载的主动在线攻击等流量监控活动。这包括为DarkNimbus恶意软件的安卓和Windows变种提供更新的命令控制服务器通过IPv4和IPv6进行基于域名系统的劫持为京东相关域名提供恶意重定向通过拦截更新清单请求劫持和替换与中国新闻媒体、视频流媒体、图像编辑应用、电商平台、出租车服务平台、游戏和色情视频流媒体应用相关的安卓应用更新根据某些预配置规则劫击Windows和其他二进制下载通过DLL旁加载投放ShadowPad后门程序然后加载DarkNimbus干扰来自杀毒软件和PC管理产品的通信包括360安全卫士和腾讯服务实时监控用户活动并将其报告回命令控制服务器Talos表示路由器和边缘设备仍然是复杂针对性攻击活动的主要目标。随着威胁行为者加强对这些基础设施的攻击努力了解他们使用的工具和战术技术程序至关重要。DKnife框架的发现突显了现代中间人攻击威胁的先进能力它们将深度数据包检测、流量操纵和跨广泛设备类型的定制恶意软件投放融为一体。QAQ1DKnife框架是什么它有什么主要功能ADKnife是一个由中国相关威胁行为者操作的网关监控和中间人攻击框架包含七个基于Linux的植入程序。它的主要功能包括深度数据包检测、流量操纵、恶意软件投放、DNS劫持、应用更新替换等主要针对路由器和边缘设备进行攻击。Q2DKnife框架主要针对哪些用户和设备ADKnife框架主要针对中文用户攻击目标涵盖个人电脑、移动设备和物联网设备。它特别关注中国邮件服务、微信等中国移动应用以及中国新闻媒体、电商平台、游戏应用等。Q3DKnife如何进行恶意攻击活动ADKnife通过七个不同组件协同工作可以劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序收集邮件凭证进行DNS劫持和流量重定向实时监控用户活动并将信息传回命令控制服务器。

相关新闻

《零信任架构运维监控信任体系构建实操手册》

《零信任架构运维监控信任体系构建实操手册》

内部运维工具的访问路径重构,核心在于以“身份态锚定”为核心构建全链路信任校验体系,彻底摒弃传统架构中基于内网网段的准入逻辑,将每一次运维访问请求都拆解为身份、环境、操作三重态的综合核验。在实际的技术落地中,运维人员对…

2026/7/4 8:35:44 阅读更多 →
新版Alexa体验不佳致用户重返旧版Siri

新版Alexa体验不佳致用户重返旧版Siri

据《The Verge》记者詹妮弗帕蒂森图希报道,Alexa Plus结合重新设计的Alexa应用程序将生成式AI助手置于核心位置,这使得整个使用体验变得非常糟糕,以至于她不得不重新转向苹果的提醒应用和Siri。这个引人注目的标题"Alexa应用太糟糕了&am…

2026/7/3 13:57:52 阅读更多 →
2026书单(一)|当AI开始奔跑,我们如何不被留在原地

2026书单(一)|当AI开始奔跑,我们如何不被留在原地

▼ —推荐序— 致2026年的技术思考者: 寒武纪的第一只眼睛睁开时,地球的宁静被打破。视觉的诞生触发了红皇后效应——捕食者与猎物被迫永不停歇地奔跑,只为留在原地。2026年,AI完成了它的“视觉革命”:基础模型越过…

2026/5/17 3:43:13 阅读更多 →

最新新闻

MFC扩展库BCGControlBar Pro v36.1新版亮点 - 对话框表单组件升级

MFC扩展库BCGControlBar Pro v36.1新版亮点 - 对话框表单组件升级

BCGControlBar库拥有500多个经过全面设计、测试和充分记录的MFC扩展类。 我们的组件可以轻松地集成到您的应用程序中,并为您节省数百个开发和调试时间。BCGControlBar专业版v36.1已全新发布了,在这个版本中增强了仪表和可视对象的视觉效果,改…

2026/7/4 9:03:28 阅读更多 →
电机控制中的高频注入技术实现与优化

电机控制中的高频注入技术实现与优化

1. 高频注入技术概述高频注入技术是电机控制领域实现无传感器低速/零速运行的核心方法之一。我在实际电机控制项目中多次应用这项技术,特别是在需要精确位置控制的伺服系统中。高频注入的基本原理是通过向电机注入特定高频信号,利用电机转子的凸极效应产…

2026/7/4 9:01:27 阅读更多 →
HPL1Engine场景管理指南:高效加载与渲染3D世界的10个技巧

HPL1Engine场景管理指南:高效加载与渲染3D世界的10个技巧

HPL1Engine场景管理指南:高效加载与渲染3D世界的10个技巧 【免费下载链接】HPL1Engine A real time 3D engine. 项目地址: https://gitcode.com/gh_mirrors/hp/HPL1Engine HPL1Engine是一款功能强大的实时3D引擎,为游戏开发者提供了创建沉浸式3D世…

2026/7/4 8:57:26 阅读更多 →
Elm-platform安装教程:Windows、macOS、Linux三大平台详细步骤

Elm-platform安装教程:Windows、macOS、Linux三大平台详细步骤

Elm-platform安装教程:Windows、macOS、Linux三大平台详细步骤 【免费下载链接】elm-platform Bundle of all core development tools for Elm 项目地址: https://gitcode.com/gh_mirrors/el/elm-platform 想要开始 Elm 编程之旅吗?Elm-platform …

2026/7/4 8:55:25 阅读更多 →
量子增强侧信道与迭代攻击:后量子密码(如McEliece)的混合威胁与防御实践

量子增强侧信道与迭代攻击:后量子密码(如McEliece)的混合威胁与防御实践

1. 项目概述:当量子计算遇上经典密码 最近在密码学圈子里,一个听起来有点“缝合怪”但又极具前瞻性的概念被反复提及——“量子相关密钥攻击迭代EM密码”。乍一看,这标题融合了“量子”、“密钥攻击”、“迭代”和“EM密码”几个硬核词汇&…

2026/7/4 8:55:25 阅读更多 →
Linux/WSL终端美化指南:gh_mirrors/do/dotfiles-archive的zsh与Hyper配置技巧

Linux/WSL终端美化指南:gh_mirrors/do/dotfiles-archive的zsh与Hyper配置技巧

Linux/WSL终端美化指南:gh_mirrors/do/dotfiles-archive的zsh与Hyper配置技巧 【免费下载链接】dotfiles-archive Dotfiles for all :D 项目地址: https://gitcode.com/gh_mirrors/do/dotfiles-archive gh_mirrors/do/dotfiles-archive项目提供了一套完整的终…

2026/7/4 8:55:25 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻