DKnife Linux toolkit hijacks router traffic to spy, deliver malware
Mis à jour :
DKnife : Un Kit d’Outils Linux pour le Piratage de Routeurs
Un ensemble d’outils Linux nommé DKnife, actif depuis 2019, est utilisé dans des campagnes d’espionnage pour intercepter le trafic réseau au niveau des routeurs et distribuer des logiciels malveillants. Ce framework, conçu pour l’inspection approfondie des paquets, la manipulation du trafic, la récolte d’identifiants et la distribution de malware, semble être l’œuvre d’acteurs de menaces liés à la Chine, compte tenu des artefacts linguistiques chinois et des cibles identifiées (fournisseurs de messagerie, applications mobiles, services de médias et utilisateurs de WeChat).
DKnife s’intègre avec les portes dérobées (backdoors) ShadowPad et DarkNimbus, toutes deux associées à des groupes de pirates chinois. Le mécanisme d’infection exact des équipements réseau reste inconnu.
Points Clés :
- Fonctionnalité Principale : Interception et manipulation du trafic réseau au niveau du routeur pour l’espionnage et la distribution de malware.
- Origine Présumée : Acteurs de menaces liés à la Chine.
- Composants Clés : Sept modules Linux responsables de l’inspection des paquets, de la communication avec les serveurs C2, de la gestion du trafic, de la création d’interfaces réseau virtuelles et de la distribution de malware.
- Cibles : Ordinateurs, appareils mobiles et objets connectés sur le réseau, avec une attention particulière portée aux activités sur WeChat.
- Période d’Activité : Depuis 2019, avec des serveurs C2 toujours actifs en janvier 2026.
Composants et leurs Fonctions :
- dknife.bin : Inspection des paquets, logique d’attaque, rapport d’état et d’activités, envoi de données collectées.
- postapi.bin : Relais entre dknife.bin et les serveurs C2.
- sslmm.bin : Proxy inverse personnalisé basé sur HAProxy.
- yitiji.bin : Création d’une interface Ethernet virtuelle (TAP) pour rediriger le trafic de l’attaquant.
- remote.bin : Client VPN pair-à-pair utilisant le logiciel n2n.
- mmdown.bin : Téléchargeur et metteur à jour de fichiers APK Android.
- dkupdate.bin : Composant de téléchargement, déploiement et mise à jour de DKnife.
Vulnérabilités et Exploits :
L’article ne détaille pas de vulnérabilités spécifiques (CVE) exploitées pour l’installation initiale de DKnife sur les routeurs. Cependant, le toolkit utilise des techniques avancées pour manipuler le trafic et distribuer des charges utiles, notamment :
- Usurpation d’identité via proxy inverse : Le composant
sslmm.binpeut agir comme un proxy inverse pour masquer l’origine du trafic malveillant. - Création d’interfaces réseau virtuelles :
yitiji.binpermet d’insérer l’attaquant dans le flux réseau du routeur. - Usurpation des mises à jour d’applications : DKnife est capable d’intercepter et de modifier les mises à jour d’applications Android et les binaires Windows, ainsi que les téléchargements de binaires.
- Détournement DNS (DNS Hijacking).
- Interception et décryptage des communications POP3/IMAP pour la récolte d’identifiants.
Recommandations :
Bien que l’article ne propose pas de recommandations directes, il est possible de déduire des mesures de sécurité générales :
- Sécurisation des équipements réseau : Changer les identifiants par défaut des routeurs et maintenir leurs firmwares à jour.
- Surveillance du trafic réseau : Mettre en place des systèmes de détection d’intrusion et de surveillance pour identifier les activités suspectes.
- Protection des points d’extrémité : Utiliser des solutions antivirus et anti-malware à jour sur tous les appareils connectés.
- Vigilance accrue lors des mises à jour : Être prudent avec les mises à jour d’applications et de logiciels, surtout sur les appareils mobiles.
- Sensibilisation des utilisateurs : Informer les utilisateurs sur les risques de hameçonnage et de téléchargements malveillants.
- Utilisation d’indicateurs de compromission (IoCs) : Les IoCs publiés par Cisco Talos peuvent être utilisés pour détecter les artefacts de DKnife dans les environnements réseau.