DKnife – nowy cyberzagrożenie w routerach zmienia zasady bezpieczeństwa sieci

Czy Twój router to tylko nudne pudełko do Wi-Fi? DKnife pokazuje, że to może być idealna budka podsłuchowa – tuż przy drzwiach Twojej sieci.

Badacze bezpieczeństwa opisali właśnie DKnife – rozbudowany framework Adversary-in-the-Middle (AitM), który od co najmniej 2019 roku siedzi na routerach i urządzeniach brzegowych, przechwytuje ruch, podmienia aktualizacje i dostarcza złośliwe oprogramowanie. Narzędzie napisane pod Linuksa, składa się z siedmiu implantów i – według analityków – działa w rękach aktorów powiązanych z Chinami. Najczęściej bierze na cel użytkowników chińskojęzycznych, ale infrastrukturę znaleziono również w kampaniach dotykających sąsiednie regiony.

Dlaczego to ważne: ataki przenoszą się z komputerów na brzeg sieci. Routery i urządzenia edge to słabe ogniwo widoczności – jeśli napastnik usiądzie między Twoim sprzętem a internetem, może monitorować, filtrować i kształtować ruch, zanim cokolwiek zauważy antywirus na laptopie. DKnife to właśnie taki „nożyk do cięcia brzegu”: łączy DPI (deep packet inspection), hijacking aktualizacji i sprytne proxy, by przejąć kontrolę nad tym, co wchodzi i wychodzi z Twojej sieci. [8]

Co właściwie odkryto

DKnife to postkompromitacyjny framework działający na Linuksie (x86-64), projektowany pod firmware w stylu CentOS/RHEL i realia operatorów (PPPoE, VLAN-y, mostkowane interfejsy). Rdzeniem jest dknife.bin – moduł DPI od brudnej roboty: monitoruje pakiety, decyduje, co przechwycić, potrafi przekierować DNS i podmienić binarki. Wokół niego pracują m.in. yitiji.bin (tworzy mostkowany interfejs TAP, który atakujący wprowadza do LAN-u), sslmm.bin (zmodyfikowany HAProxy do terminowania TLS, odszyfrowywania POP3/IMAP i przekierowywania URL-i), postapi.bin (przekaźnik do C2), remote.bin (P2P VPN) oraz mmdown.bin i dkupdate.bin (pobieranie i pilnowanie aktualności komponentów). [1][5]

Jak działa przejęcie ruchu

Po zagnieżdżeniu się w bramie sieciowej DKnife wstawia się w strumień danych. yitiji.bin uruchamia wirtualny interfejs i „wciąga” do LAN-u ruch atakującego (obserwowano stały adres 10.3.3.3 na takim interfejsie). Dzięki temu framework może: [8]

• podmieniać manifesty aktualizacji Androida i kierować pobrania APK-ów na swoje serwery;
• przekierowywać legalne pobrania Windows na zainfekowane odpowiedniki (HTTP 302 i inne sztuczki w locie);
• przejmować DNS, by kierować ofiary tam, gdzie trzeba;
• celowo zakłócać ruch produktów bezpieczeństwa (np. aktualizacje AV), by dłużej pozostać niewidocznym.

Z poziomu bramy nie musi „wygrać” z antywirusem – wystarczy, że podsunie pod drzwi systemu właściwy pakunek. W praktyce badacze widzieli dostarczanie dwóch znanych backdoorów: ShadowPad i DarkNimbus. W jednym z przypadków na Windows dropowano ShadowPad podpisany certyfikatem chińskiej firmy, a zaraz po nim dojeżdżał DarkNimbus. Na Androidzie DarkNimbus jest wstrzykiwany wprost przez framework.

Podsłuch z ambicjami

DKnife nie ogranicza się do malware delivery. sslmm.bin potrafi wystawić własny certyfikat TLS, zakończyć i rozszyfrować sesje POP3/IMAP, a następnie z plain-textu wyciągnąć loginy i hasła (oznaczane w strumieniu jako „PASSWORD”), które potem lecą łańcuchem komponentów do C2. Framework hostuje też phishingowe strony logowania – wprost pod serwisy popularne wśród użytkowników chińskojęzycznych. Do tego dochodzi telemetria aktywności: rozpoznaje i śledzi użycie komunikatorów (WeChat, a nawet Signal), map, newsów, połączeń, ride-hailing i zakupów. WeChat ma osobny zestaw „zainteresowań”: rozmowy głosowe/wideo, wiadomości, obrazy, artykuły.

Kto i kogo

Cisco Talos przypisuje operacje do aktorów „China-nexus” z wysokim poziomem pewności – wskazują na to język i komentarze w kodzie, konfiguracje, cele (usługi i aplikacje z chińskiego ekosystemu) i to, czym finalnie zaraża (ShadowPad, DarkNimbus). Głównym celem wydają się użytkownicy chińskojęzyczni, ale badacze znaleźli pomosty do innych kampanii. Na infrastrukturze DKnife wisiał również WizardNet – modularny backdoor, wcześniej wiązany z innym frameworkiem AitM o nazwie Spellbinder. Ten ostatni opisywano jako system przejmowania zapytań aktualizacyjnych (m.in. z użyciem sztuczek IPv6/SLAAC). Co ważne: DKnife i Spellbinder używały identycznych ścieżek URL (np. http://[IP]:81/app/[nazwa_apki]) i podobnej logiki przekierowań. Albo rodzina, albo co najmniej wspólny dostawca narzędzi. [5][2]

Czego nie wiemy (i co to mówi o trendach)

Nie ma jeszcze jasności, jak atakujący wchodzą na routery i urządzenia edge – badacze nie wskazali pojedynczej metody początkowej kompromitacji. Wiemy natomiast, że C2 DKnife działały jeszcze w styczniu 2026 r., a obecność tej infrastruktury wyszła na jaw podczas łowów na DarkNimbus i powiązany zestaw exploitów MOONSHINE. Nie przegapmy też kontekstu: Linux uchodzi za „trudniejszy” cel niż desktopowe systemy konsumenckie, ale nie jest odporny na malware. A kiedy Linux siedzi wewnątrz urządzeń, które rzadko aktualizujemy i prawie nie monitorujemy, robi się z tego ślepa plamka bezpieczeństwa. [2]

Krótki komentarz

DKnife to nie „kolejny trojan”, tylko gotowa platforma do przejęcia perymetru. Widać dojrzewanie całego łańcucha narzędzi AitM po stronie grup powiązanych z Chinami i rozsądną optymalizację: po co męczyć się z każdym endpointem, skoro można podmienić aktualizację w jednym miejscu i mieć dostęp do wszystkich? Nazwa nieprzypadkowa – ten nóż tnie dokładnie tam, gdzie kończy się nasza widoczność.

Na koniec: jeśli zarządzasz siecią, to dobry moment, by zajrzeć do bramy. Aktualizacje firmware, wyłączenie zbędnego zarządzania zdalnego, segmentacja i telemetryka na brzegu to nadal najtańsze „szwy”, które utrudniają pracę takim frameworkom. Bo DKnife działa od lat – i nic nie wskazuje, by miał się szybko stępić.

FAQ

Czy DKnife zagraża domowym routerom?

Tak, w teorii – framework celuje w bramy i urządzenia edge, ale wektor początkowej infekcji nie jest publicznie znany. Najlepszą obroną są aktualizacje firmware i wyłączenie zbędnego dostępu zdalnego.

Kiedy kampania DKnife była aktywna?

Co najmniej od 2019 roku i była aktywna jeszcze w styczniu 2026 roku. To wynika z metadanych artefaktów i obserwacji serwerów C2.

Jak DKnife omija antywirusa na komputerze?

Nie musi go omijać – manipuluje ruchem już na routerze i podmienia pliki aktualizacji, zanim trafią na endpoint. Dodatkowo potrafi zakłócać ruch aktualizacji produktów AV.

Czy ataki DKnife dotyczą tylko użytkowników chińskojęzycznych?

Nie, ale głównie – konfiguracje i moduły celują w usługi używane przez chińskojęzycznych użytkowników. Jednocześnie infrastruktura łączy się z kampaniami działającymi w regionie Azji i Zatoki.

Jakie są praktyczne oznaki, że brama może być zainfekowana DKnife?

Nie ma prostego testu, ale podejrzane są nietypowe przekierowania aktualizacji (np. pobrania z portu 81/app) i obecność nieznanego interfejsu TAP (obserwowano 10.3.3.3). Wymaga to jednak dostępu administracyjnego i wiedzy sieciowej.

Źródła

• [1] https://thehackernews.com/2026/02/china-linked-dknife-aitm-framework.html
• [2] https://blog.talosintelligence.com/knife-cutting-the-edge/
• [3] https://bleepingcomputer.com/news/security/dknife-linux-toolkit-hijacks-router-traffic-to-spy-deliver-malware/
• [4] https://itsecuritynews.info/china-linked-dknife-aitm-framework-targets-routers-for-traffic-hijacking-malware-delivery/
• [5] https://gbhackers.com/china-nexus-hackers/
• [6] https://cyberpress.org/china-apt-hijacks-linux-devices/
• [7] https://infosecurity-magazine.com/news/china-malware-kit-targets-routers/
• [8] https://cybersecuritynews.com/china-nexus-hackers-hijacking-linux-based-devices/
• [9] https://itsecuritynews.info/china-nexus-hackers-hijacking-linux-based-devices-to-manipulate-traffic-and-deploy-malware/