中国系ハッカーがLinuxデバイスを標的にトラフィックをリダイレクトしマルウェアを展開

「DKnife」は、Linuxベースのルーターやエッジデバイスを監視ツールへと変える、高度なゲートウェイ監視およびアドバーサリー・イン・ザ・ミドル（AitM）フレームワークです。

少なくとも2019年から活動しているこのキャンペーンは、7種類の異なるLinuxインプラントを用いてネットワークトラフィックを検査し、正規のソフトウェアダウンロードを乗っ取り、高度なマルウェアを展開します。

このフレームワークは2026年1月時点でも活動を継続しており、パーソナルコンピューター、携帯電話、モノのインターネット（IoT）デバイスを標的にしています

DKnifeは単純なバックドアではなく、ディープパケットインスペクション（DPI）とトラフィック操作のために設計された包括的なスイートです。このフレームワークは、ネットワークを侵害するために連携して動作する7つのコンポーネント（ELFバイナリ）で構成されています。

中核エンジンであるdknife.binはユーザーの活動を監視し、傍受すべき特定のトラフィックを特定します。「一体機」を意味する中国語の「Yitiji」に由来するyitiji.binという固有のコンポーネントは、感染デバイス上に仮想ネットワークインターフェース（10.3.3.3）を作成します。

これにより実質的に偽のローカルネットワークが構築され、ユーザーに気付かれないまま、攻撃者が乗っ取ったトラフィックを制御下の環境へルーティングできるようになります。

他のコンポーネントは、データ流出（postapi.bin）、暗号化トンネル通信（remote.bin）、永続的な更新（dkupdate.bin）を担当します。

更新の乗っ取りによるマルウェア配布

DKnifeの最大の危険性は、ソフトウェア更新に対してAitM攻撃を実行できる点にあります。侵害されたネットワーク上のユーザーが正規のファイルをダウンロードしたり、Androidアプリケーションを更新したりしようとすると、DKnifeがそのリクエストを傍受します。

作成されたAAAA応答は、実際の公開アドレスではありません。DKnifeがその作成されたIPv6宛てのトラフィックを検知すると、アドレスの末尾8バイトを確認し、それをローカルインターフェースアドレス10.3.3.3に変換します。

Androidデバイスに対しては、更新サービスで使用される「manifest」ファイルを改変し、正規ベンダーではなく攻撃者のサーバーへダウンロードをリダイレクトします。

Windowsユーザーに対しては、HTTPリダイレクトを用いて無害なバイナリを悪意のあるものに置き換えます。これらの攻撃は主に2種類のバックドアを配布します:

抽出された認証情報には「PASSWORD」というタグが付けられ、postapi.binコンポーネントへ転送され、最終的にリモートのC2サーバーへ中継されます。

観測されたある事例では、攻撃者は正規の実行ファイル（TosBtKbd.exe）を、ShadowPadマルウェアをサイドロードするバージョンに置き換えていました。

Talosの研究者は、DKnifeが中国系の脅威アクターによって運用されていると高い確度で指摘しています。コードおよび設定ファイルには、「Yitiji」という命名規則を含め、簡体字中国語への複数の言及が含まれています。

このシステムは、ファイル送信やこれらのプラットフォームでの友だち追加など、ユーザーの「インターネット上の行動」に関する詳細なレポートを作成します。

さらに、このフレームワークは中国のサービスを監視・悪用するよう明確に調整されています。中国のメールプロバイダーから認証情報を収集するための特定モジュールを含み、WeChatやQQといった人気アプリ上のユーザー活動を追跡します。

調査により、DKnifeと別のマルウェアキャンペーン「WizardNet」との間に、インフラ面での直接的な関連が明らかになりました。

Talosは、DKnifeのコマンド＆コントロール（C2）サーバー（43.132.205[.]118）が、2025年4月にESETが公表したバックドアであるWizardNetもホスティングしていたことを確認しました。

WizardNetは、同様の手法で更新を乗っ取る別のAitMフレームワーク「Spellbinder」によって展開されることが知られています。この重なりは、異なる中国のハッキンググループが開発リソースや運用上の戦術を共有している可能性を示唆します。