Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Cadre DKnife AitM

Cadre DKnife AitM

Par Mezo en Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :

Des chercheurs en cybersécurité ont révélé l'existence d'un système sophistiqué de surveillance des passerelles et d'attaque par l'intermédiaire d'un adversaire (AitM), connu sous le nom de DKnife, attribué à des acteurs malveillants liés à la Chine et actif depuis au moins 2019. Ce système est conçu spécifiquement pour fonctionner en périphérie du réseau, permettant l'inspection, la manipulation et la diffusion secrètes du trafic via des routeurs et des périphériques compromis.

Ciblage stratégique des utilisateurs sinophones

DKnife semble cibler principalement les utilisateurs sinophones. Cette observation est étayée par plusieurs indicateurs, notamment des pages d'hameçonnage conçues pour les fournisseurs de messagerie chinois, des modules d'exfiltration de données axés sur des applications mobiles chinoises largement utilisées comme WeChat, et des références intégrées au code source vers des domaines de médias chinois. Les chercheurs soulignent toutefois que cette conclusion repose sur des fichiers de configuration récupérés depuis un unique serveur de commande et de contrôle (C2), ce qui laisse supposer l'existence d'infrastructures parallèles adaptées à d'autres régions.

Liens avec une activité de menace plus large alignée sur la Chine

Cette structure a été découverte lors de l'enquête sur un vaste groupe de menaces chinoises, identifié sous le nom d'Earth Minotaur, associé au kit d'exploitation MOONSHINE et à la porte dérobée DarkNimbus (également connue sous le nom de DarkNights). Il est à noter que DarkNimbus a également été déployé par un autre groupe de menaces persistantes avancées (APT) lié à la Chine, connu sous le nom de TheWizards.

L'analyse de l'infrastructure a révélé des similitudes entre DKnife et WizardNet, un implant Windows utilisé par TheWizards et diffusé via un framework AitM appelé Spellbinder, documenté publiquement en avril 2025. Ces liens sont significatifs étant donné que TheWizards cible des individus et des entités liées aux jeux d'argent au Cambodge, à Hong Kong, en Chine continentale, aux Philippines et aux Émirats arabes unis.

Une architecture modulaire axée sur Linux

Contrairement à WizardNet, DKnife est conçu spécifiquement pour les environnements Linux, ce qui le rend parfaitement adapté au déploiement sur les routeurs et les périphériques de périphérie. Le framework est distribué via un téléchargeur ELF et utilise une conception modulaire permettant aux opérateurs d'activer sélectivement des fonctionnalités allant du transfert de paquets à l'interception et à la manipulation complètes du trafic.

Composants du framework DKnife

  • dknife.bin – Le module principal responsable de l'inspection approfondie des paquets, de la surveillance de l'activité des utilisateurs, du détournement DNS et du détournement des téléchargements binaires.
  • postapi.bin – Un relais de rapports qui reçoit les données collectées par DKnife et les transmet à des serveurs C2 distants.
  • sslmm.bin – Un proxy inverse HAProxy modifié utilisé pour la terminaison TLS, le déchiffrement des e-mails et la redirection d'URL
  • mmdown.bin – Un programme de mise à jour qui se connecte à un serveur C2 intégré pour récupérer des fichiers APK Android malveillants.
  • yitiji.bin – Un transmetteur de paquets qui crée une interface TAP pontée sur le routeur pour le trafic LAN injecté par un attaquant
  • remote.bin – Un client VPN peer-to-peer qui établit des canaux de communication avec une infrastructure C2 distante
  • dkupdate.bin – Un module de mise à jour et de surveillance qui garantit la persistance et la disponibilité de tous les composants

Collecte d’identifiants par décryptage en ligne

DKnife intègre des fonctionnalités dédiées au vol d'identifiants, ciblant notamment un important fournisseur de messagerie chinois. Le module sslmm.bin présente aux clients des certificats TLS contrôlés par l'attaquant, termine et déchiffre les connexions POP3 et IMAP, puis analyse le trafic en clair résultant afin d'en extraire les noms d'utilisateur et les mots de passe. Les identifiants ainsi obtenus sont étiquetés, transmis à postapi.bin, puis relayés vers des serveurs de commande et de contrôle distants pour collecte et analyse.

L’inspection approfondie des paquets comme outil d’attaque

Au cœur de ce système se trouve dknife.bin, qui permet une inspection approfondie des paquets et une analyse du trafic en temps réel. Cette fonctionnalité permet aux opérateurs de passer facilement d'une surveillance passive à des attaques actives en temps réel, notamment le remplacement de téléchargements de logiciels légitimes par des charges utiles malveillantes.

Capacités opérationnelles clés

  • Distribution de configurations C2 mises à jour aux variantes Android et Windows du logiciel malveillant DarkNimbus
  • Détournement DNS via IPv4 et IPv6 pour rediriger le trafic associé aux domaines liés à JD.com
  • Interception et remplacement des mises à jour d'applications Android pour les plateformes chinoises d'actualités, de streaming, de retouche d'images, de commerce électronique, de VTC, de jeux et de vidéos pour adultes.
  • Détournement de téléchargements Windows et autres fichiers binaires pour déployer la porte dérobée ShadowPad via le chargement latéral de DLL, puis chargement de DarkNimbus.
  • Perturbation des communications due aux logiciels antivirus et de gestion de systèmes, notamment aux produits de 360 et Tencent
  • Surveillance en temps réel du comportement des utilisateurs, catégorisé selon des activités telles que la messagerie, les appels vocaux et vidéo, les achats, la consultation d'actualités, les recherches cartographiques, le streaming, les jeux, les rencontres, le covoiturage et l'utilisation du courrier électronique.

Implications pour la sécurité des réseaux périphériques

Les routeurs et les périphériques de périphérie demeurent des cibles de choix pour les campagnes d'intrusion sophistiquées et ciblées. Face à l'intérêt croissant des acteurs malveillants pour cette couche d'infrastructure, la visibilité des outils et techniques qu'ils emploient devient essentielle. La découverte de la faille DKnife souligne la maturité des menaces AitM modernes, qui combinent inspection approfondie des paquets, manipulation du trafic et diffusion de logiciels malveillants sur mesure pour compromettre à grande échelle un large éventail de types d'appareils.

Tendance

Le plus regardé

Chargement...