محققان امنیت سایبری از چارچوب نظارت بر gateway و adversary-in-the-middle (AitM) و toolkit تازه کشف شده به نام DKnife رونمایی کردهاند که حداقل از سال 2019 توسط عوامل تهدید چینی جهت هایجک ترافیک در سطح دستگاههای edge و ارائه بدافزار در کمپینهای جاسوسی استفاده شده است.
این چارچوب شامل هفت ایمپلنت مبتنی بر لینوکس است که برای انجام بررسی عمیق پکتها (DPI)، دستکاری ترافیک و ارائه بدافزار از طریق روترها و دستگاههای edge طراحی شدهاند. به نظر میرسد اهداف اصلی آن کاربران چینی زبان هستند، ارزیابی که بر اساس وجود صفحات فیشینگ جمعآوری اعتبار برای سرویسهای ایمیل چینی، ماژولهای استخراج برای برنامههای محبوب موبایل چینی مانند WeChat و ارجاعات کد به دامنههای رسانهای چینی انجام شده است. این بدافزار دارای مصنوعات زبان چینی ساده شده در نام مؤلفهها و نظرات کد است و صریحاً سرویسهای چینی مانند ارائه دهندگان ایمیل، برنامههای تلفن همراه، دامنههای رسانهای و کاربران WeChat را هدف قرار میدهد.
محقق Cisco Talos، در گزارشی خاطرنشان کرد: «حملات DKnife طیف وسیعی از دستگاهها از جمله رایانههای شخصی، دستگاههای تلفن همراه و دستگاههای اینترنت اشیا (IoT) را هدف قرار میدهد. این بدافزار با هایجک دانلودهای باینری و بهروزرسانیهای برنامههای اندروید، دربپشتیهای ShadowPad و DarkNimbus (معروف به DarkNights) را ارائه و با آنها تعامل میکند.» این شرکت امنیت سایبری اعلام کرد که DKnife را به عنوان بخشی از نظارت مداوم خود بر یک گروه فعالیت تهدید چینی دیگر با نام Earth Minotaur کشف کرده است که با ابزارهایی مانند کیت اکسپلویت MOONSHINE و دربپشتی DarkNimbus مرتبط است. جالب اینجاست که این دربپشتی توسط گروه تهدید پیشرفته مداوم (APT) همسو با چین به نام TheWizards نیز مورد استفاده قرار گرفته است.
بنابر یافته محققان، این چارچوب همچنین میزبان دربپشتی WizardNet است که ESET قبلاً آن را به چارچوب Spellbinder AitM مرتبط دانسته است. DKnife افزون بر تحویل پیلود داده، همچنین قادر به انجام مواردی از جمله هایجک DNS، هایجک بهروزرسانیهای برنامههای اندروید، هایجک فایلهای باینری ویندوز، سرقت اعتبارنامه از طریق رمزگشایی POP3/IMAP، میزبانی صفحات فیشینگ، اختلال در ترافیک آنتیویروس، نظارت بر فعالیت کاربر است. از آنجا که DKnife روی دستگاههای دروازه قرار میگیرد و رویدادها را هنگام عبور پکتها گزارش میدهد،بلافاصله امکان نظارت بر فعالیت کاربر و جمعآوری دادهها را فراهم میکند.
https://www.bleepingcomputer.com/news/security/dknife-linux-toolkit-hijacks-router-traffic-to-spy-deliver-malware/
https://thehackernews.com/2026/02/china-linked-dknife-aitm-framework.html
