Hackers usam roteadores para espionar tudo o que passa pela rede

Pesquisadores revelaram um framework avançado de monitoramento de gateway e ataque do tipo adversary-in-the-middle (AitM), batizado de DKnife, que vem sendo operado por hackers ligados à China desde pelo menos 2019. A plataforma é composta por múltiplos implantes voltados a dispositivos Linux e tem como principal objetivo inspecionar pacotes, manipular tráfego de rede e distribuir malware por meio de roteadores e dispositivos de borda.

De acordo com a Cisco Talos, o DKnife é formado por sete componentes modulares projetados para realizar inspeção profunda de pacotes (DPI), interceptar comunicações criptografadas, sequestrar downloads legítimos e redirecionar atualizações de aplicativos para cargas maliciosas. A análise indica que os principais alvos são usuários que falam chinês, evidenciado por páginas de phishing para provedores de e-mail chineses, módulos voltados à exfiltração de dados de aplicativos populares como WeChat e referências diretas a domínios de mídia chineses no código.

Segundo a pesquisadora Ashley Shen, o framework permite ataques contra PCs, dispositivos móveis e equipamentos de Internet das Coisas (IoT). Ele também é utilizado para distribuir e interagir com backdoors como ShadowPad e DarkNimbus, substituindo downloads binários legítimos e atualizações de aplicativos Android por versões maliciosas durante o trânsito pela rede.

A descoberta do DKnife ocorreu durante o monitoramento de outra atividade maliciosa ligada à China, conhecida como Earth Minotaur, associada a ferramentas como o exploit kit MOONSHINE e o backdoor DarkNimbus. Esse mesmo backdoor também já foi atribuído a outro grupo hacker alinhado à China, identificado como TheWizards, ampliando a evidência de reutilização e compartilhamento de ferramentas entre diferentes operações.

A análise da infraestrutura revelou conexões entre o DKnife e o WizardNet, um implante Windows utilizado pelo grupo TheWizards por meio de um framework AitM chamado Spellbinder, documentado anteriormente pela ESET. Essas ligações são relevantes porque o grupo TheWizards já foi associado a campanhas contra indivíduos e setores específicos em regiões como Camboja, Hong Kong, China continental, Filipinas e Emirados Árabes Unidos.

Diferentemente de outras ferramentas similares, o DKnife foi projetado especificamente para ambientes Linux, explorando sua ampla adoção em roteadores, firewalls e dispositivos de borda. Seu núcleo, o módulo dknife.bin, funciona como o “sistema nervoso central” da operação, sendo responsável pela inspeção de pacotes, monitoramento em tempo real das atividades do usuário, sequestro de downloads binários e ataques de hijacking de DNS tanto em IPv4 quanto em IPv6.

Entre as capacidades mais críticas do framework estão a interceptação e substituição de atualizações de aplicativos Android, incluindo apps de notícias, streaming de vídeo, edição de imagens, e-commerce, transporte por aplicativo, jogos e serviços de mensagens. O DKnife também consegue sequestrar downloads de software para Windows e entregar malware por meio de técnicas como DLL side-loading, além de interferir na comunicação de produtos de segurança e ferramentas de gerenciamento, como soluções antivírus chinesas.

Outro destaque é o módulo sslmm.bin, que atua como um proxy reverso capaz de encerrar conexões TLS, descriptografar tráfego POP3 e IMAP e capturar credenciais de e-mail em texto claro. As credenciais coletadas são marcadas, encaminhadas a módulos internos e posteriormente exfiltradas para servidores de comando e controle (C2).

Para os pesquisadores, o DKnife representa um exemplo claro da evolução dos ataques AitM modernos, que combinam comprometimento de infraestrutura de rede, espionagem em larga escala e entrega seletiva de malware. O uso de roteadores e dispositivos de borda como ponto de controle torna esse tipo de ameaça especialmente perigoso, pois permite observar e manipular o tráfego de múltiplos dispositivos simultaneamente, muitas vezes sem qualquer indício visível para as vítimas.