/
中国相关DKnife中间人攻击框架针对路由器进行流量劫持与恶意软件投放
网络安全研究人员披露了一个名为DKnife的网关监控和中间人攻击框架,该框架自2019年以来一直由中国相关威胁行为者操作。
该框架包含七个基于Linux的植入程序,专门设计用于执行深度数据包检测、操纵流量,并通过路由器和边缘设备投放恶意软件。其主要目标似乎是中文用户,这一评估基于中国邮件服务的凭证收集钓鱼页面、针对微信等流行中国移动应用的数据窃取模块,以及代码中对中国媒体域名的引用。
思科Talos研究员Ashley Shen在周四的报告中指出:"DKnife的攻击目标涵盖广泛的设备,包括个人电脑、移动设备和物联网设备。它通过劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序并与之交互。"
该网络安全公司表示,他们在持续监控另一个代号为Earth Minotaur的中国威胁活动集群时发现了DKnife,该集群与MOONSHINE漏洞利用工具包和DarkNimbus后门程序相关。有趣的是,这个后门程序还被第三个中国相关的高级持续性威胁组织TheWizards使用。
对DKnife基础设施的分析发现了一个托管WizardNet的IP地址,这是TheWizards通过名为Spellbinder的中间人攻击框架部署的Windows植入程序。ESET在2025年4月记录了该工具包的详细信息。
思科表示,对中文用户的针对性攻击基于从单个命令控制服务器获得的配置文件发现,这提出了可能存在其他服务器托管针对不同地区的类似配置的可能性。
鉴于DKnife和WizardNet之间的基础设施连接,这一点非常重要,因为众所周知TheWizards针对柬埔寨、香港、中国大陆、菲律宾和阿联酋的个人和博彩行业。
与WizardNet不同,DKnife专门设计在基于Linux的设备上运行。其模块化架构使操作者能够执行广泛的功能,从数据包分析到流量操纵。通过ELF下载器投放,它包含七个不同的组件:
dknife.bin - 框架的中央神经系统,负责深度数据包检测、用户活动报告、二进制下载劫持和DNS劫持
postapi.bin - 数据报告模块,作为中继接收来自DKnife的流量并向远程命令控制服务器报告
sslmm.bin - 从HAProxy修改的反向代理模块,执行TLS终止、邮件解密和URL重定向
mmdown.bin - 更新模块,连接到硬编码的命令控制服务器下载用于攻击的APK文件
yitiji.bin - 数据包转发模块,在路由器上创建桥接TAP接口来托管和路由攻击者注入的局域网流量
remote.bin - 点对点VPN客户端模块,创建到远程命令控制服务器的通信通道
dkupdate.bin - 更新和看门狗模块,保持各种组件的运行状态
Talos表示:"DKnife可以从主要中国邮件提供商收集凭证,并为其他服务托管钓鱼页面。对于邮件凭证收集,sslmm.bin组件向客户端出示自己的TLS证书,终止并解密POP3/IMAP连接,检查明文流以提取用户名和密码。"
"提取的凭证被标记为'PASSWORD',转发给postapi.bin组件,最终中继到远程命令控制服务器。"
框架的核心组件是"dknife.bin",负责深度数据包检测,允许操作者进行从"用户活动的隐蔽监控到用恶意载荷替换合法下载的主动在线攻击"等流量监控活动。这包括:
为DarkNimbus恶意软件的安卓和Windows变种提供更新的命令控制服务器
通过IPv4和IPv6进行基于域名系统的劫持,为京东相关域名提供恶意重定向
通过拦截更新清单请求,劫持和替换与中国新闻媒体、视频流媒体、图像编辑应用、电商平台、出租车服务平台、游戏和色情视频流媒体应用相关的安卓应用更新
根据某些预配置规则劫击Windows和其他二进制下载,通过DLL旁加载投放ShadowPad后门程序,然后加载DarkNimbus
干扰来自杀毒软件和PC管理产品的通信,包括360安全卫士和腾讯服务
实时监控用户活动并将其报告回命令控制服务器
Talos表示:"路由器和边缘设备仍然是复杂针对性攻击活动的主要目标。随着威胁行为者加强对这些基础设施的攻击努力,了解他们使用的工具和战术技术程序至关重要。DKnife框架的发现突显了现代中间人攻击威胁的先进能力,它们将深度数据包检测、流量操纵和跨广泛设备类型的定制恶意软件投放融为一体。"
Q&A
Q1:DKnife框架是什么,它有什么主要功能?
A:DKnife是一个由中国相关威胁行为者操作的网关监控和中间人攻击框架,包含七个基于Linux的植入程序。它的主要功能包括深度数据包检测、流量操纵、恶意软件投放、DNS劫持、应用更新替换等,主要针对路由器和边缘设备进行攻击。
Q2:DKnife框架主要针对哪些用户和设备?
A:DKnife框架主要针对中文用户,攻击目标涵盖个人电脑、移动设备和物联网设备。它特别关注中国邮件服务、微信等中国移动应用,以及中国新闻媒体、电商平台、游戏应用等。
Q3:DKnife如何进行恶意攻击活动?
A:DKnife通过七个不同组件协同工作,可以劫持二进制文件下载和安卓应用更新来投放ShadowPad和DarkNimbus后门程序,收集邮件凭证,进行DNS劫持和流量重定向,实时监控用户活动并将信息传回命令控制服务器。
0赞好文章,需要你的鼓励
推荐文章
Replit携手RevenueCat,助力“氛围编程“开发者实现应用变现
Replit与RevenueCat达成合作,将订阅变现工具直接集成至Replit平台。用户只需通过自然语言提示(如"添加订阅"),即可完成应用内购和订阅配置,无需离开平台。RevenueCat管理超8万款应用的订阅业务,每月处理约10亿美元交易。此次合作旨在让"氛围编程"用户在构建应用的同时即可实现商业变现,月收入未达2500美元前免费使用,超出后收取1%费用。
北京大学携手北邮,教AI“感知光线“——让生成视频真正懂得光影的秘密
LiVER是由北京大学、北京邮电大学等机构联合提出的视频生成框架,核心创新是将物理渲染技术与AI视频生成结合,通过Blender引擎计算漫反射、粗糙GGX和光泽GGX三种光照图像构成"场景代理",引导视频扩散模型生成光影物理准确的视频。框架包含渲染器智能体、轻量化编码器适配器和三阶段训练策略,支持对光照、场景布局和摄像机轨迹的独立精确控制。配套构建的LiVERSet数据集含约11000段标注视频,实验显示该方法在视频质量和控制精度上均优于现有方法。
所有人都在谈AI护栏,但真正在构建它的人在哪里?
所有人都说AI需要护栏,但真正在构建它的人寥寥无几。SkipLabs创始人Julien Verlaguet深耕这一问题已逾一年,他发现市面上多数"护栏"不过是提示词包装。为此,他打造了专为后端服务设计的AI编程智能体Skipper,基于健全的TypeScript类型系统与响应式运行时,实现增量式代码生成与测试,内部基准测试通过率超90%。他认为,编程语言的"人类可读性时代"正走向终结,面向智能体的精确工具链才是未来。
米拉-魁北克AI研究所教会小模型“聪明干活“:用更少数据超越GPT-4o的网页智能体训练秘诀
这项由蒙特利尔学习算法研究所(Mila)与麦吉尔大学联合发布的研究(arXiv:2604.07776,2026年4月)提出了AGENT-AS-ANNOTATORS框架,通过模仿人类数据标注的三种角色分工,系统化生成高质量网页智能体训练轨迹。以Gemini 3 Pro为教师模型,仅用2322条精选轨迹对90亿参数的Qwen3.5-9B模型进行监督微调,在WebArena基准上达到41.5%成功率,超越GPT-4o和Claude 3.5 Sonnet,并在从未见过的企业平台WorkArena L1上提升18.2个百分点,验证了"数据质量远比数量重要"这一核心结论。
2026
02/09
10:25
分享
点赞
Replit携手RevenueCat,助力"氛围编程"开发者实现应用变现
所有人都在谈AI护栏,但真正在构建它的人在哪里?
Chrome版Gemini新增"技能"功能,支持保存并复用常用AI提示词
OpenAI推出药物研发专属AI模型GPT-Rosalind
NanoClaw携手Vercel,为AI智能体敏感操作打造一键审批机制
SaySo:专为重建新闻信任而生的短视频应用
Loop完成9500万美元C轮融资,用AI预测并化解供应链风险
使用MacBook Neo一个月后,我发现了它的性能极限
服务器机房的门锁形同虚设,安全认证险些露馅
Isabelle/HOL:驱动Nitro隔离引擎背后的形式化证明工具
鹏鼎控股泰国建厂:全球PCB龙头如何用42.97亿元押注AI服务器
Agent赋能保险理赔:从“人工苦海”到“智能闭环”
OpenClaw安全漏洞频发:个人信息泄露风险激增
威胁情报周报:Codespaces远程代码执行、AsyncRAT C2、BYOVD滥用、AI云入侵及15+安全事件
ExpressVPN推出四款全新独立应用
n8n工作流自动化工具再曝严重漏洞,可绕过12月补丁
Nitrogen勒索软件漏洞严重:连黑客都无法解锁受害者文件
n8n平台严重漏洞CVE-2026-25049可通过恶意工作流执行系统命令
SolarWinds服务漏洞遭大范围攻击,已列入美国重点监控清单
恶意 NGINX 配置引发大规模 Web 流量劫持攻击活动
Linux系统安全革命:Amutable公司推出全新验证完整性技术
OpenClaw的AI技能扩展存在严重安全隐患
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
