中国相关DKnife中间人攻击框架针对路由器进行流量劫持与恶意软件投放
网络安全研究人员披露了一个名为DKnife的网关监控和中间人攻击框架该框架自2019年以来一直由中国相关威胁行为者操作。该框架包含七个基于Linux的植入程序专门设计用于执行深度数据包检测、操纵流量并通过路由器和边缘设备投放恶意软件。其主要目标似乎是中文用户这一评估基于中国邮件服务的凭证收集钓鱼页面、针对微信等流行中国移动应用的数据窃取模块以及代码中对中国媒体域名的引用。思科Talos研究员Ashley Shen在周四的报告中指出DKnife的攻击目标涵盖广泛的设备包括个人电脑、移动设备和物联网设备。它通过劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序并与之交互。该网络安全公司表示他们在持续监控另一个代号为Earth Minotaur的中国威胁活动集群时发现了DKnife该集群与MOONSHINE漏洞利用工具包和DarkNimbus后门程序相关。有趣的是这个后门程序还被第三个中国相关的高级持续性威胁组织TheWizards使用。对DKnife基础设施的分析发现了一个托管WizardNet的IP地址这是TheWizards通过名为Spellbinder的中间人攻击框架部署的Windows植入程序。ESET在2025年4月记录了该工具包的详细信息。思科表示对中文用户的针对性攻击基于从单个命令控制服务器获得的配置文件发现这提出了可能存在其他服务器托管针对不同地区的类似配置的可能性。鉴于DKnife和WizardNet之间的基础设施连接这一点非常重要因为众所周知TheWizards针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人和博彩行业。与WizardNet不同DKnife专门设计在基于Linux的设备上运行。其模块化架构使操作者能够执行广泛的功能从数据包分析到流量操纵。通过ELF下载器投放它包含七个不同的组件dknife.bin - 框架的中央神经系统负责深度数据包检测、用户活动报告、二进制下载劫持和DNS劫持postapi.bin - 数据报告模块作为中继接收来自DKnife的流量并向远程命令控制服务器报告sslmm.bin - 从HAProxy修改的反向代理模块执行TLS终止、邮件解密和URL重定向mmdown.bin - 更新模块连接到硬编码的命令控制服务器下载用于攻击的APK文件yitiji.bin - 数据包转发模块在路由器上创建桥接TAP接口来托管和路由攻击者注入的局域网流量remote.bin - 点对点VPN客户端模块创建到远程命令控制服务器的通信通道dkupdate.bin - 更新和看门狗模块保持各种组件的运行状态Talos表示DKnife可以从主要中国邮件提供商收集凭证并为其他服务托管钓鱼页面。对于邮件凭证收集sslmm.bin组件向客户端出示自己的TLS证书终止并解密POP3/IMAP连接检查明文流以提取用户名和密码。提取的凭证被标记为PASSWORD转发给postapi.bin组件最终中继到远程命令控制服务器。框架的核心组件是dknife.bin负责深度数据包检测允许操作者进行从用户活动的隐蔽监控到用恶意载荷替换合法下载的主动在线攻击等流量监控活动。这包括为DarkNimbus恶意软件的安卓和Windows变种提供更新的命令控制服务器通过IPv4和IPv6进行基于域名系统的劫持为京东相关域名提供恶意重定向通过拦截更新清单请求劫持和替换与中国新闻媒体、视频流媒体、图像编辑应用、电商平台、出租车服务平台、游戏和色情视频流媒体应用相关的安卓应用更新根据某些预配置规则劫击Windows和其他二进制下载通过DLL旁加载投放ShadowPad后门程序然后加载DarkNimbus干扰来自杀毒软件和PC管理产品的通信包括360安全卫士和腾讯服务实时监控用户活动并将其报告回命令控制服务器Talos表示路由器和边缘设备仍然是复杂针对性攻击活动的主要目标。随着威胁行为者加强对这些基础设施的攻击努力了解他们使用的工具和战术技术程序至关重要。DKnife框架的发现突显了现代中间人攻击威胁的先进能力它们将深度数据包检测、流量操纵和跨广泛设备类型的定制恶意软件投放融为一体。QAQ1DKnife框架是什么它有什么主要功能ADKnife是一个由中国相关威胁行为者操作的网关监控和中间人攻击框架包含七个基于Linux的植入程序。它的主要功能包括深度数据包检测、流量操纵、恶意软件投放、DNS劫持、应用更新替换等主要针对路由器和边缘设备进行攻击。Q2DKnife框架主要针对哪些用户和设备ADKnife框架主要针对中文用户攻击目标涵盖个人电脑、移动设备和物联网设备。它特别关注中国邮件服务、微信等中国移动应用以及中国新闻媒体、电商平台、游戏应用等。Q3DKnife如何进行恶意攻击活动ADKnife通过七个不同组件协同工作可以劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序收集邮件凭证进行DNS劫持和流量重定向实时监控用户活动并将信息传回命令控制服务器。

相关新闻

《零信任架构运维监控信任体系构建实操手册》

《零信任架构运维监控信任体系构建实操手册》

内部运维工具的访问路径重构,核心在于以“身份态锚定”为核心构建全链路信任校验体系,彻底摒弃传统架构中基于内网网段的准入逻辑,将每一次运维访问请求都拆解为身份、环境、操作三重态的综合核验。在实际的技术落地中,运维人员对…

2026/5/17 3:43:13 阅读更多 →
新版Alexa体验不佳致用户重返旧版Siri

新版Alexa体验不佳致用户重返旧版Siri

据《The Verge》记者詹妮弗帕蒂森图希报道,Alexa Plus结合重新设计的Alexa应用程序将生成式AI助手置于核心位置,这使得整个使用体验变得非常糟糕,以至于她不得不重新转向苹果的提醒应用和Siri。这个引人注目的标题"Alexa应用太糟糕了&am…

2026/7/3 13:57:52 阅读更多 →
2026书单(一)|当AI开始奔跑,我们如何不被留在原地

2026书单(一)|当AI开始奔跑,我们如何不被留在原地

▼ —推荐序— 致2026年的技术思考者: 寒武纪的第一只眼睛睁开时,地球的宁静被打破。视觉的诞生触发了红皇后效应——捕食者与猎物被迫永不停歇地奔跑,只为留在原地。2026年,AI完成了它的“视觉革命”:基础模型越过…

2026/5/17 3:43:13 阅读更多 →

最新新闻

Obsidian-zola与Netlify集成:自动化部署的最佳实践

Obsidian-zola与Netlify集成:自动化部署的最佳实践

Obsidian-zola与Netlify集成:自动化部署的最佳实践 【免费下载链接】obsidian-zola A no-brainer solution to turning your Obsidian PKM into a Zola site. 项目地址: https://gitcode.com/gh_mirrors/ob/obsidian-zola Obsidian-zola是一个将Obsidian个人…

2026/7/4 8:07:14 阅读更多 →
5分钟掌握CSS变体管理神器:CVA终极指南

5分钟掌握CSS变体管理神器:CVA终极指南

5分钟掌握CSS变体管理神器:CVA终极指南 【免费下载链接】cva Class Variance Authority 项目地址: https://gitcode.com/gh_mirrors/cv/cva 你是否曾为UI组件的CSS类名管理而头疼?😫 面对不同尺寸、颜色、状态的按钮变体,手…

2026/7/4 8:05:14 阅读更多 →
wiliwili:专为手柄用户打造的跨平台B站客户端完全指南

wiliwili:专为手柄用户打造的跨平台B站客户端完全指南

wiliwili:专为手柄用户打造的跨平台B站客户端完全指南 【免费下载链接】wiliwili 第三方B站客户端,目前可以运行在PC全平台、PSVita、PS4 、Xbox 和 Nintendo Switch上 项目地址: https://gitcode.com/GitHub_Trending/wi/wiliwili 你是否厌倦了在…

2026/7/4 8:05:14 阅读更多 →
豆包与元宝深度对比:AI工具背后的生态能力拆解

豆包与元宝深度对比:AI工具背后的生态能力拆解

1. 这不是“选APP”,而是一场生态级能力的现场拆解你刷到这条内容时,大概率正躺在沙发上,左手握着手机,右手刚点开豆包准备扒拉一段抖音口播文案;或者刚在视频号看完一篇深度长文,顺手把链接甩进元宝&#…

2026/7/4 8:05:14 阅读更多 →
Optimus钩子(Hooks)机制详解:实现数据转换后处理的完整教程

Optimus钩子(Hooks)机制详解:实现数据转换后处理的完整教程

Optimus钩子(Hooks)机制详解:实现数据转换后处理的完整教程 【免费下载链接】optimus Optimus is an easy-to-use, reliable, and performant workflow orchestrator for data transformation, data modeling, pipelines, and data quality m…

2026/7/4 8:01:13 阅读更多 →
CANN/ge LLM集群连接API

CANN/ge LLM集群连接API

# link_clusters 【免费下载链接】ge GE(Graph Engine)是面向昇腾的图编译器和执行器,提供了计算图优化、多流并行、内存复用和模型下沉等技术手段,加速模型执行效率,减少模型内存占用。 GE 提供对 PyTorc…

2026/7/4 8:01:13 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻