少なくとも2019年から活動している中国関連のフレームワークが、ネットワークゲートウェイで動作して通過中のトラフィックを検査・改ざんし、攻撃者が更新のリダイレクト、セキュリティツールの妨害、バックドアの配布を可能にしている。
これまで文書化されていなかった「DKnife」として知られる中国関連のアドバーサリー・イン・ザ・ミドル(AitM)フレームワークが、ネットワークゲートウェイで動作し、通過中のトラフィックを傍受して改ざんしていることが確認された。
Cisco Talosの調査結果によると、このフレームワークは少なくとも2019年から活動しており、2026年初頭時点でも稼働している。エンドポイントを直接狙うのではなく、DKnifeはネットワークエッジに展開され、運用者は侵害されたデバイスを通過するトラフィックを可視化し、制御できる。
Talosの研究者は、ディープパケットインスペクション、認証情報の傍受、悪意あるコンテンツの注入が可能な、モジュール式のLinuxベースのシステムだと説明した。
「DKnifeの攻撃は、PC、モバイルデバイス、IoTデバイスなど幅広い機器を標的にしている」と彼らはブログ投稿で述べた。「バイナリのダウンロードやAndroidアプリケーションの更新を乗っ取ることで、ShadowPadおよびDarkNimbusのバックドアを配布し、相互作用する。」
トラフィックの乗っ取りとマルウェア配布
研究者らは、DKnifeがリアルタイムでネットワークトラフィックを監視・改ざんするために連携して動作する7つのLinux ELFコンポーネントを備えていることを突き止めた。ゲートウェイや同様のエッジデバイスに展開されると、このフレームワークは暗号化されていないトラフィックおよび復号されたトラフィックフローを検査し、意図した宛先に到達する前に応答を選択的に改変できる。
「DKnifeの7つのインプラントは、DPIエンジン、データ報告、AitM攻撃用のリバースプロキシ、悪意あるAPKのダウンロード、フレームワーク更新、トラフィック転送、そしてリモートC2とのP2P通信チャネル構築という目的を担っている」と研究者らは述べた。
このフレームワークは、正規のソフトウェア更新要求を攻撃者が管理するサーバーへリダイレクトし、信頼できる更新を装った二次ペイロードを配布するために使用されていることが観測された。研究者らは、これにより攻撃者はエンドポイント自体へ直接アクセスすることなく、下流のシステムを侵害できたと指摘している。
更新の乗っ取りにとどまらず、このフレームワークはDNSの改ざん、バイナリの置換、選択的なトラフィック転送をサポートし、特定の要求をどのように処理するかについて攻撃者に制御権を与える。
指標は中国系の開発および標的設定を示唆
DKnifeの設計と運用のいくつかの側面は、中国寄りの脅威アクターとの関連を示唆していた。Talosは、簡体字中国語で書かれた設定データやコードコメント、さらに中国語のメールプロバイダーやモバイルアプリケーション向けに調整された処理ロジックを特定した。
また、このフレームワークは中国国内で利用されるサービスから認証情報を収集できることも判明しており、特定の標的設定を示している。Talosは、DKnifeの運用が、これまで中国系の活動と関連付けられてきたマルウェアファミリーの配布と結び付くことを確認し、帰属判断をさらに補強した。
「コード、設定ファイル、そしてキャンペーンで配布されたShadowPadマルウェアで使用されている言語に基づき、中国系の脅威アクターがこのツールを運用していると高い確度で評価する」と研究者らは述べたが、特定の脅威グループ名は挙げなかった。
共通の系譜と検知妨害
Talosの調査では、DKnifeと過去のキャンペーンで使用された以前のAitMフレームワークとの技術的な重なりも明らかになった。
「DKnifeと、別のAiTMフレームワークであるSpellbinderによって配布されることが知られているモジュール式バックドアWizardNetを配布するキャンペーンとの関連を発見した。これは、開発または運用上の系譜が共有されていることを示唆する」と研究者らは述べた。
Talosによれば、DKnifeには、アンチウイルスおよびPC管理の通信を能動的に妨害するトラフィック検査モジュールが含まれている。このモジュールは、DPUnameやx-360-verといった特定のHTTPヘッダーを検査し、既知のサービスドメインと照合することで、360 Total Securityのトラフィックを識別する。一致が検出されると、フレームワークは細工したTCPリセットパケットを用いて接続を遮断する。
Tencentのサービスやその他のPC管理エンドポイントを標的とする同様の挙動も観測されており、セキュリティツールを弱体化させる意図的な取り組みが示されている。検知強化のため、Talosはファイルハッシュ、ネットワークアーティファクト、DKnifeに関連するコマンド&コントロール(c2)インフラを含む侵害指標(IoCs)の一覧を共有した。さらに、この脅威を検知・ブロックするためのClamAVシグネチャ一式も開示された。
