网络安全研究人员披露了一个名为DKnife的网关监控和中间人攻击框架该框架自2019年以来一直由中国相关威胁行为者操作。该框架包含七个基于Linux的植入程序专门设计用于执行深度数据包检测、操纵流量并通过路由器和边缘设备投放恶意软件。其主要目标似乎是中文用户这一评估基于中国邮件服务的凭证收集钓鱼页面、针对微信等流行中国移动应用的数据窃取模块以及代码中对中国媒体域名的引用。思科Talos研究员Ashley Shen在周四的报告中指出DKnife的攻击目标涵盖广泛的设备包括个人电脑、移动设备和物联网设备。它通过劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序并与之交互。该网络安全公司表示他们在持续监控另一个代号为Earth Minotaur的中国威胁活动集群时发现了DKnife该集群与MOONSHINE漏洞利用工具包和DarkNimbus后门程序相关。有趣的是这个后门程序还被第三个中国相关的高级持续性威胁组织TheWizards使用。对DKnife基础设施的分析发现了一个托管WizardNet的IP地址这是TheWizards通过名为Spellbinder的中间人攻击框架部署的Windows植入程序。ESET在2025年4月记录了该工具包的详细信息。思科表示对中文用户的针对性攻击基于从单个命令控制服务器获得的配置文件发现这提出了可能存在其他服务器托管针对不同地区的类似配置的可能性。鉴于DKnife和WizardNet之间的基础设施连接这一点非常重要因为众所周知TheWizards针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人和博彩行业。与WizardNet不同DKnife专门设计在基于Linux的设备上运行。其模块化架构使操作者能够执行广泛的功能从数据包分析到流量操纵。通过ELF下载器投放它包含七个不同的组件dknife.bin - 框架的中央神经系统负责深度数据包检测、用户活动报告、二进制下载劫持和DNS劫持postapi.bin - 数据报告模块作为中继接收来自DKnife的流量并向远程命令控制服务器报告sslmm.bin - 从HAProxy修改的反向代理模块执行TLS终止、邮件解密和URL重定向mmdown.bin - 更新模块连接到硬编码的命令控制服务器下载用于攻击的APK文件yitiji.bin - 数据包转发模块在路由器上创建桥接TAP接口来托管和路由攻击者注入的局域网流量remote.bin - 点对点VPN客户端模块创建到远程命令控制服务器的通信通道dkupdate.bin - 更新和看门狗模块保持各种组件的运行状态Talos表示DKnife可以从主要中国邮件提供商收集凭证并为其他服务托管钓鱼页面。对于邮件凭证收集sslmm.bin组件向客户端出示自己的TLS证书终止并解密POP3/IMAP连接检查明文流以提取用户名和密码。提取的凭证被标记为PASSWORD转发给postapi.bin组件最终中继到远程命令控制服务器。框架的核心组件是dknife.bin负责深度数据包检测允许操作者进行从用户活动的隐蔽监控到用恶意载荷替换合法下载的主动在线攻击等流量监控活动。这包括为DarkNimbus恶意软件的安卓和Windows变种提供更新的命令控制服务器通过IPv4和IPv6进行基于域名系统的劫持为京东相关域名提供恶意重定向通过拦截更新清单请求劫持和替换与中国新闻媒体、视频流媒体、图像编辑应用、电商平台、出租车服务平台、游戏和色情视频流媒体应用相关的安卓应用更新根据某些预配置规则劫击Windows和其他二进制下载通过DLL旁加载投放ShadowPad后门程序然后加载DarkNimbus干扰来自杀毒软件和PC管理产品的通信包括360安全卫士和腾讯服务实时监控用户活动并将其报告回命令控制服务器Talos表示路由器和边缘设备仍然是复杂针对性攻击活动的主要目标。随着威胁行为者加强对这些基础设施的攻击努力了解他们使用的工具和战术技术程序至关重要。DKnife框架的发现突显了现代中间人攻击威胁的先进能力它们将深度数据包检测、流量操纵和跨广泛设备类型的定制恶意软件投放融为一体。QAQ1DKnife框架是什么它有什么主要功能ADKnife是一个由中国相关威胁行为者操作的网关监控和中间人攻击框架包含七个基于Linux的植入程序。它的主要功能包括深度数据包检测、流量操纵、恶意软件投放、DNS劫持、应用更新替换等主要针对路由器和边缘设备进行攻击。Q2DKnife框架主要针对哪些用户和设备ADKnife框架主要针对中文用户攻击目标涵盖个人电脑、移动设备和物联网设备。它特别关注中国邮件服务、微信等中国移动应用以及中国新闻媒体、电商平台、游戏应用等。Q3DKnife如何进行恶意攻击活动ADKnife通过七个不同组件协同工作可以劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序收集邮件凭证进行DNS劫持和流量重定向实时监控用户活动并将信息传回命令控制服务器。