Actif depuis au moins 2019, le cadre lié à la Chine fonctionne au niveau des passerelles réseau pour inspecter et manipuler le trafic en transit, permettant aux attaquants de rediriger les mises à jour, de perturber les outils de sécurité et de fournir des portes dérobées.
Un système d’adversaire du milieu (AitM) lié à la Chine, jusqu’alors non documenté, connu sous le nom de « DKnife », a été identifié et fonctionne au niveau des passerelles du réseau, où il intercepte et manipule le trafic en transit.
Selon les conclusions de Cisco Talos, le framework est actif depuis au moins 2019 et reste opérationnel début 2026. Plutôt que de cibler directement les points finaux, DKnife est déployé à la périphérie du réseau, donnant aux opérateurs une visibilité et un contrôle sur le trafic transitant par les appareils compromis.
Les chercheurs de Talos l’ont décrit comme un système modulaire basé sur Linux, capable d’inspecter en profondeur les paquets, d’intercepter les informations d’identification et d’injecter du contenu malveillant.
« Les attaques de DKnife ciblent un large éventail d’appareils, notamment les PC, les appareils mobiles et les appareils Internet des objets », ont-ils déclaré dans un article de blog. « Il fournit et interagit avec les portes dérobées ShadowPad et DarkNimbus en détournant les téléchargements binaires et les mises à jour des applications Android. »
Détournement de trafic et diffusion de logiciels malveillants
Les chercheurs ont découvert que DKnife disposait de sept composants Linux ELF qui fonctionnent ensemble pour surveiller et manipuler le trafic réseau en temps réel. Une fois déployé sur une passerelle ou un périphérique périphérique similaire, le framework peut inspecter les flux de trafic non chiffrés et déchiffrés pour modifier sélectivement les réponses avant qu’elles n’atteignent leur destination prévue.
« Les sept implants de DKnife servent au moteur DPI, au reporting des données, au proxy inverse pour l’attaque AitM, au téléchargement d’APK malveillant, à la mise à jour du framework, au transfert du trafic et à la création d’un canal de communication P2P avec le C2 distant », ont déclaré les chercheurs.
Il a été observé que le framework était utilisé pour rediriger les demandes légitimes de mise à jour logicielle vers des serveurs contrôlés par des attaquants, permettant ainsi la livraison de charges utiles secondaires se faisant passer pour des mises à jour fiables. Cela a permis aux attaquants de compromettre les systèmes en aval sans avoir besoin d’un accès direct aux points finaux eux-mêmes, ont noté les chercheurs.
Au-delà du détournement de mises à jour, le framework prend en charge la manipulation DNS, le remplacement binaire et le transfert sélectif du trafic, donnant aux attaquants le contrôle sur la manière dont les requêtes spécifiques sont traitées.
Les indicateurs pointent vers le développement et le ciblage du lien entre la Chine et la Chine
Plusieurs aspects de la conception et du fonctionnement de DKnife suggèrent des liens avec des acteurs menaçants alignés sur la Chine. Talos a identifié des données de configuration et des commentaires de code écrits en chinois simplifié, ainsi qu’une logique de gestion adaptée aux fournisseurs de messagerie et aux applications mobiles en langue chinoise.
Il a également été constaté que le cadre permettait la collecte d’informations d’identification auprès des services utilisés en Chine, indiquant un ciblage spécifique. Talos a confirmé lier les opérations de DKnife à la livraison de familles de logiciels malveillants précédemment associées aux activités liées à la Chine, renforçant ainsi l’attribution.
« Sur la base du langage utilisé dans le code, des fichiers de configuration et du malware ShadowPad livré dans la campagne, nous évaluons avec une grande confiance que les acteurs de la menace liés à la Chine exploitent cet outil », ont déclaré les chercheurs sans nommer de groupe de menace spécifique.
Lignée partagée et sabotage de détection
L’enquête de Talos a également révélé des chevauchements techniques entre DKnife et les frameworks AitM antérieurs utilisés dans les campagnes précédentes.
« Nous avons découvert un lien entre DKnife et une campagne proposant WizardNet, une porte dérobée modulaire connue pour être fournie par un autre framework AiTM, Spellbinder, suggérant un développement partagé ou une lignée opérationnelle », ont déclaré les chercheurs.
Talos a déclaré que DKnife inclut un module d’inspection du trafic qui interfère activement avec les communications antivirus et de gestion des PC. Le module identifie le trafic 360 Total Security en inspectant les en-têtes HTTP spécifiques, tels que DPUname et x-360-ver, et en faisant correspondre les domaines de service connus. Lorsqu’une correspondance est détectée, le framework interrompt la connexion à l’aide de paquets de réinitialisation TCP contrefaits.
Un comportement similaire ciblant les services Tencent et d’autres points de terminaison de gestion de PC a également été observé, indiquant des efforts délibérés pour affaiblir les outils de sécurité. Pour renforcer la détection, Talos a partagé une liste d’indicateurs de compromission (IoC), notamment les hachages de fichiers, les artefacts réseau et l’infrastructure de commande et de contrôle (c2) associée à DKnife. De plus, la divulgation partageait un ensemble de signatures ClamAV pour détecter et bloquer la menace.
