過去5年以上にわたり、中国と関係する脅威アクターが、バックドアの配布および操作を行うためのゲートウェイ監視と中間者攻撃(AitM)フレームワークを運用してきたと、CiscoのTalos研究者が警告している。
DKnifeと名付けられたこのフレームワークは、ディープパケットインスペクション、トラフィック操作、マルウェア配布を目的に設計された7つのLinuxベースのインプラントで構成され、少なくとも2019年以降活動している。
このフレームワークは主に中国語話者のユーザーを標的とし、デスクトップ、モバイル、IoTデバイス上で、ShadowPadやDarkNimbusといったバックドアを配布し、それらとやり取りする。
DarkNimbus(別名DarkNights)は中国企業UPSECが提供しており、同社は以前、中国のAPT「TheWizards」(Spellbinder AitMフレームワークの運用者)との関連が指摘されていた。
Talosによれば、DKnifeとSpellbinderのTTPには重複があり、さらにWizardNetバックドアがDKnifeによって配布されていることから、「共通の開発系統または運用上の系譜」が示唆されるという。
Talosによると、Spellbinderと同様にDKnifeはメールやメッセージングサービスを含む中国のプラットフォームやアプリケーションを標的としている。また、そのコードは中国のメディアサイトにも言及しているという。
しかし同サイバーセキュリティ企業は、分析が単一のコマンド&コントロール(C&C)サーバーの設定ファイルに基づいている点を指摘し、別のサーバーが異なる地域を標的にするために使用されている可能性があるとしている(WizardNetはフィリピン、カンボジア、UAEでも使用されていた)。
DKnifeはネットワークトラフィックを監視・操作し、被害者のシステム上で稼働するバックドアとやり取りするために構築された。バックドアの更新、DNSトラフィックのハイジャック、Androidアプリケーションの更新およびダウンロードのハイジャック、ユーザーの活動のC&Cへの流出が可能だ。
また、Windowsなどのバイナリのダウンロードをハイジャックし、ShadowPadおよびDarkNimbusのバックドアを展開できるほか、アンチウイルスやPC管理製品に関連するトラフィックを傍受・妨害し、ユーザーのネットワーク活動を監視して報告することもできる。
さらに、主要な中国のメールプロバイダーの認証情報を窃取(暗号化接続をハイジャックして平文のユーザー名とパスワードを抽出)でき、他のサービス向けにフィッシングページを提供することも可能だ。
「コード、設定ファイル、そしてキャンペーンで配布されたShadowPadマルウェアで使用されている言語に基づき、中国と関係する脅威アクターがこのツールを運用していると高い確度で評価している」とCiscoは述べている。
