La unidad de investigación Cisco Talos ha documentado el uso prolongado de DKnife, un framework malicioso multipropósito para Linux que, al menos desde 2019, se emplea para interceptar y manipular tráfico de red directamente en routers y gateways. Una vez comprometido el equipo de red, este se convierte en una plataforma silenciosa para ataques Man in the Middle (MitM), distribución de malware y robo de información sensible de los usuarios.
Qué es DKnife y por qué es peligroso para infraestructuras de red Linux
DKnife es un framework de postexplotación para Linux diseñado específicamente para ejecutarse en infraestructura de red —como routers, cortafuegos perimetrales y otros nodos de tránsito— en lugar de en estaciones de trabajo o servidores tradicionales. Tras lograr acceso inicial al dispositivo, los atacantes obtienen la capacidad de interceptar, analizar y modificar paquetes de red de forma transparente, sin provocar fallos evidentes en el servicio.
El núcleo de la amenaza reside en la explotación de ataques Man in the Middle: el tráfico entre el usuario y el servicio legítimo es redirigido de forma invisible a través del equipo controlado por el atacante. Esto permite sustituir archivos descargados —por ejemplo, paquetes APK para Android—, inyectar backdoors en sistemas Windows, capturar credenciales y monitorizar la actividad en servicios populares, con un foco destacado en el ecosistema WeChat.
Arquitectura de DKnife: módulos Linux para manipular tráfico y mantener el control
Inspección profunda de paquetes y comunicación con servidores de mando
Según Cisco Talos, DKnife está compuesto por al menos siete binarios para Linux que trabajan de forma coordinada. El componente central, dknife.bin, implementa inspección profunda de paquetes (Deep Packet Inspection, DPI) para analizar el tráfico que atraviesa el dispositivo, aplicar reglas de ataque, extraer datos de interés y enviarlos a la infraestructura de mando y control (C2).
La comunicación con los servidores C2 se canaliza mediante postapi.bin, que actúa como relé entre dknife.bin y la infraestructura de gestión. Para el proxy oculto de tráfico HTTPS, los atacantes utilizan sslmm.bin, un reverse proxy basado en HAProxy modificado, que permite manipular el contenido de las sesiones cifradas sin interrumpir la experiencia del usuario.
Interfaces virtuales TAP y manipulación directa del tráfico local
Un módulo clave, yitiji.bin, crea en el router una interfaz de red virtual TAP con la dirección privada 10.3.3.3. A través de esta interfaz, el framework captura y reescribe paquetes “en caliente”, integrándose de forma lógica en el segmento de red local. Esto facilita que el tráfico se enrute selectivamente hacia la infraestructura de los atacantes, habilitando tanto el espionaje como la inyección de contenido malicioso.
Persistencia, VPN P2P y distribución de malware Android
Para el acceso remoto resiliente, DKnife incorpora remote.bin, un cliente VPN P2P basado en n2n, que ofrece a los operadores un canal adicional para gestionar los dispositivos comprometidos aun cuando cambien reglas de red o se apliquen NAT restrictivos.
El componente mmdown.bin se encarga de descargar y actualizar APK maliciosos para Android, mientras que dkupdate.bin gestiona la instalación, despliegue y actualización del propio framework DKnife, reforzando su persistencia en routers y equipos de borde.
Conexiones de DKnife con grupos APT chinos y el framework Spellbinder
El análisis técnico apunta con fuerza a un origen chino de los operadores de DKnife. En el código se han identificado cadenas en chino simplificado, tanto en nombres internos de componentes como en comentarios. Además, se observan servicios y dominios objetivo vinculados a proveedores chinos de correo, aplicaciones móviles, medios y usuarios de WeChat, lo que sugiere una orientación clara hacia el entorno sinófano.
DKnife se emplea activamente para desplegar los backdoors ShadowPad y DarkNimbus (DarkNights), previamente asociados por distintas investigaciones con grupos APT y actores criminales chinos. Cisco Talos documenta escenarios en los que, a través de DKnife, se descarga en sistemas Windows una versión de ShadowPad firmada con un certificado de una empresa china y, a continuación, se despliega DarkNimbus. En Android, el malware se introduce mediante la alteración de APK interceptados en tránsito.
En la misma infraestructura de mando utilizada por DKnife se identificó el backdoor WizardNet, descrito por ESET y vinculado al framework MitM Spellbinder. DarkNimbus, a su vez, se relaciona con la empresa china UPSEC, asociada en varios informes con la APT TheWizards, operadora de Spellbinder. La similitud de tácticas, técnicas y procedimientos (TTP) entre DKnife y Spellbinder refuerza la hipótesis de que ambos forman parte del mismo ecosistema o de clústeres de amenaza muy próximos.
Espionaje de tráfico y foco en WeChat: impacto para organizaciones y usuarios
Además de servir como vector para la entrega de malware, DKnife ofrece amplias capacidades de monitorización y exfiltración de datos. El framework está preparado para rastrear de forma específica tráfico de WeChat, incluyendo llamadas de voz y vídeo, mensajes de texto, imágenes compartidas y contenido consumido dentro de la plataforma, lo que lo convierte en una herramienta potente para espionaje dirigido.
Los eventos capturados se agregan internamente y se enrutan entre los distintos módulos de DKnife, para posteriormente ser empaquetados y enviados a los servidores de mando mediante peticiones HTTP POST. Al camuflar la exfiltración como tráfico web estándar, los atacantes aumentan sus posibilidades de pasar desapercibidos incluso frente a controles de seguridad perimetral avanzados.
Cómo proteger routers y perímetro de red frente a DKnife y ataques similares
DKnife ilustra una tendencia consolidada: el desplazamiento del foco de ataque desde los endpoints hacia la infraestructura de red. Comprometer un router o un gateway proporciona a los atacantes visibilidad y control sobre múltiples equipos internos, eludiendo defensas centradas exclusivamente en estaciones de trabajo y servidores.
Para reducir el riesgo, resulta esencial reforzar la seguridad del equipamiento de red:
Medidas recomendadas:
– Mantener firmware y sistemas operativos de routers y firewalls siempre actualizados.
– Deshabilitar servicios de administración remota innecesarios y restringir la gestión solo desde redes de confianza.
– Aplicar autenticación multifactor (MFA) y contraseñas robustas para el acceso a dispositivos de red.
– Implementar segmentación de red y principios de Zero Trust para limitar el impacto de un compromiso.
– Desplegar sistemas de detección de intrusiones (IDS/IPS) y monitorización orientados a comportamiento anómalo, incluyendo interfaces TAP inusuales, túneles P2P no autorizados y conexiones sospechosas hacia hosts C2 externos.
La combinación de técnicas avanzadas de MitM, vínculos con grupos APT chinos y capacidad para controlar de forma encubierta el tráfico de plataformas masivas como WeChat convierte a DKnife en una amenaza estratégica para empresas y usuarios domésticos. Reforzar la seguridad de routers y dispositivos perimetrales, revisar de manera periódica la postura de ciberseguridad y mantenerse informado sobre nuevas campañas y herramientas de ataque son pasos imprescindibles para reducir la superficie de exposición y detectar a tiempo compromisos en la infraestructura de red.
