Dknife

O DKnife é um novo toolkit de cibersegurança, descoberto por pesquisadores da Cisco Talos, que tem sido utilizado desde 2019 para sequestrar tráfego em dispositivos de borda e entregar malware em campanhas de espionagem. Este framework atua como uma plataforma pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM), interceptando e manipulando dados destinados a dispositivos finais, como computadores, dispositivos móveis e IoTs.

Composto por sete módulos baseados em Linux, o DKnife é projetado para inspeção profunda de pacotes (DPI), manipulação de tráfego e coleta de credenciais. Os pesquisadores identificaram que o malware possui artefatos em chinês simplificado e visa especificamente serviços chineses, como provedores de e-mail e aplicativos móveis. Embora não tenham conseguido determinar como os equipamentos de rede são comprometidos, o DKnife interage com backdoors conhecidos, como ShadowPad e DarkNimbus, ambos associados a atores de ameaças da China.

Pesquisadores de cibersegurança revelaram a existência do DKnife, um framework de monitoramento de gateways e ataque do tipo adversário no meio (AitM), operado por atores de ameaça com vínculos à China desde 2019. O DKnife é composto por sete implantes baseados em Linux, projetados para realizar inspeção profunda de pacotes, manipular tráfego e entregar malware através de roteadores e dispositivos de borda. Os principais alvos são usuários de língua chinesa, evidenciado pela presença de páginas de phishing para serviços de e-mail chineses e módulos de exfiltração para aplicativos populares como o WeChat. O framework é capaz de interceptar downloads e atualizações de aplicativos Android, além de monitorar atividades de usuários em tempo real. A Cisco Talos, que identificou o DKnife, destaca que a infraestrutura do framework está conectada a outras atividades de ameaças, como o grupo Earth Minotaur. A descoberta do DKnife ressalta as capacidades avançadas das ameaças AitM modernas, que combinam inspeção profunda de pacotes, manipulação de tráfego e entrega personalizada de malware em uma ampla gama de dispositivos.