Ваш роутер вам врет? Хакеры научились превращать легальные обновления Android в вирусы прямо в кабеле

Исследователи Cisco Talos разобрали новый вредоносный набор инструментов под названием DKnife. По их данным, его используют как минимум с 2019 года в шпионских операциях. Комплект размещают на сетевых пограничных устройствах, после чего он перехватывает проходящий трафик и подменяет загружаемые данные, внедряя вредоносные компоненты прямо по пути к пользователю.

DKnife начинает работать уже после первичного взлома. То есть сначала злоумышленники получают доступ к сетевому оборудованию, а затем разворачивают там этот фреймворк. Дальше он позволяет наблюдать за потоками данных и проводить атаки MITM. Подход похож на метод man in the middle (человек посередине), но управление полностью у атакующей стороны. Инструментарий перехватывает и изменяет пакеты, которые идут к компьютерам, мобильным устройствам и IoT узлам внутри сети.

Специалисты Talos описывают DKnife как набор ELF модулей для Linux. Внутри семь отдельных компонентов. Они отвечают за глубокий анализ пакетов через DPI, подмену сетевых данных, сбор учетных данных и доставку вредоносных файлов. В названиях модулей и комментариях в коде обнаружены фрагменты на упрощенном китайском языке. Логика работы также ориентирована на китайские сервисы. В правилах и фильтрах упоминаются местные почтовые провайдеры, мобильные приложения, медиаресурсы и пользователи WeChat. На основании этих признаков Talos связывает операторов DKnife с китайским направлением и оценивает такую атрибуцию с высокой уверенностью.

Как именно происходит первичный взлом сетевого оборудования, исследователи пока не установили. Зато они зафиксировали, что через DKnife распространяются и управляются бэкдоры ShadowPad и DarkNimbus. Оба инструмента ранее уже связывали с китайскими группами. Значит платформа используется как транспорт и как точка управления для уже известных закладок.

Архитектура DKnife разбита на 7 исполняемых файлов с разными задачами. Модуль dknife.bin занимается проверкой пакетов и реализует логику атак. Он же отправляет отчеты о ходе операций, действиях пользователей и передает собранные сведения дальше. postapi.bin работает как промежуточное звено между основным модулем и управляющими серверами C2. Компонент sslmm.bin представляет собой собственный обратный прокси, созданный на базе HAProxy. yitiji.bin разворачивает на маршрутизаторе виртуальный сетевой интерфейс TAP и соединяет его с локальной сетью, чтобы трафик злоумышленника шел через внутренний сегмент. remote.bin выступает как peer to peer VPN клиент на базе n2n VPN. mmdown.bin отвечает за загрузку и обновление вредоносных APK для Android. dkupdate.bin используется для загрузки, установки и обновления остальных частей набора.

Основные возможности платформы включают работу как управляющего узла для обновления бэкдоров, перехват DNS запросов, подмену обновлений Android приложений и загрузок бинарных файлов, доставку ShadowPad и DarkNimbus, выборочное нарушение работы защитных продуктов и отправку сведений о действиях пользователей на удаленные серверы управления.

После установки DKnife задействует модуль yitiji.bin и создает на маршрутизаторе виртуальный TAP интерфейс с внутренним адресом 10.3.3.3. Он подключается к локальной сети в режиме моста. За счет этого злоумышленник получает возможность перехватывать и переписывать пакеты прямо во время их прохождения к целевому узлу. Такой механизм позволяет незаметно подсовывать вредоносные APK на мобильные устройства и зараженные файлы для Windows внутри той же сети.

В ходе наблюдений специалисты Cisco зафиксировали доставку ShadowPad для Windows с цифровой подписью китайской компании. Следом разворачивался DarkNimbus. На устройствах с Android закладка устанавливается напрямую средствами самого DKnife без промежуточных этапов.

На серверах, которые использовались в той же инфраструктуре, исследователи также нашли размещенный бэкдор WizardNet. Ранее эксперты ESET связывали его с фреймворком Spellbinder, который тоже применяет схему adversary in the middle. Пересечение инфраструктуры указывает на возможную связь операций.

Помимо доставки вредоносных модулей платформа умеет перехватывать DNS, подменять обновления Android приложений, вмешиваться в загрузку исполняемых файлов для Windows, извлекать учетные данные через расшифровку трафика POP3 и IMAP, размещать фишинговые страницы и мешать обмену данными антивирусных продуктов. Отдельный блок функций связан с наблюдением за активностью пользователя. Система отслеживает работу мессенджеров, включая WeChat и Signal, использование картографических сервисов, чтение новостей, звонки, сервисы заказа поездок и покупки.

Действия в WeChat анализируются особенно подробно. DKnife фиксирует голосовые и видеозвонки, текстовые сообщения, отправленные и полученные изображения, а также прочитанные статьи внутри платформы.

События активности сначала передаются между внутренними модулями набора, после чего уходят наружу через HTTP POST запросы на определенные API адреса управляющих серверов. Поскольку инструмент размещается на шлюзовом оборудовании и видит пакеты в момент прохождения, сбор и отправка данных происходят практически в реальном времени.

По состоянию на январь 2026 года управляющие серверы DKnife продолжают работать. Команда Cisco Talos опубликовала полный набор индикаторов компрометации, которые помогают обнаружить следы этой активности в сети.