DKnife: il framework di spionaggio Cinese che manipola le reti

Negli ultimi anni, la sicurezza delle reti ha affrontato minacce sempre più sofisticate, capaci di aggirare le difese tradizionali e di penetrare negli strati più profondi delle infrastrutture.

Un’analisi recente ha portato alla luce uno strumento estremamente avanzato che opera proprio in questo spazio grigio, sfruttando tecniche di monitoraggio e intercettazione del traffico per compromettere dispositivi e dati.

La scoperta di DKnife

I ricercatori di Talos hanno individuato un framework denominato “DKnife“, progettato per monitorare gateway di rete e posizionarsi come “adversary-in-the-middle” (AiTM), intercettando e analizzando il traffico che attraversa punti critici.

Questo strumento comprende sette componenti implant basati su Linux, ideati per lavorare insieme e offrire funzioni complesse di manipolazione dei dati in transito.

La scoperta è significativa perché dimostra come i framework moderni non si limitino a infettare singoli dispositivi, ma possano controllare intere porzioni di rete per fini di spionaggio.

In base alla metadata degli artefatti, emerge che questo framework è attivo almeno dal 2019 e che il server di comando e controllo (C2) resta operativo anche nel 2026.

Come funziona l’attacco

DKnife non si limita a osservare: è progettato per manipolare attivamente il traffico. Grazie alla sua architettura, può effettuare ispezione approfondita dei pacchetti, alterare risposte e persino sostituire download legittimi con payload dannosi.

Tra le funzioni chiave c’è la capacità di reindirizzare richieste di aggiornamento di applicazioni Android e di scaricare backdoor direttamente sul dispositivo target.

Allo stesso modo, può eseguire hijacking di binari Windows, consegnando malware come ShadowPad e DarkNimbus tramite percorsi profondamente integrati nel traffico di rete.

Il framework non si limita a un singolo tipo di attacco: riesce anche a deviare traffico DNS, impedire il corretto funzionamento di prodotti di sicurezza e raccogliere dati sensibili degli utenti.

Mirato a utenti e servizi specifici

Dall’analisi dei file di configurazione e dei codici interni emerge un forte focus verso utenti di lingua cinese, con moduli pensati per esfiltrare credenziali e dati da servizi popolari del mondo cinese.
Ci sono riferimenti a domini di media cinesi e componenti che mostrano commenti scritti in caratteri semplificati, un segno ulteriore dell’origine e degli obiettivi del framework.

Nonostante questa focalizzazione, esistono indizi legati a operazioni con infrastrutture condivise, associate anche a campagne note come WizardNet, suggerendo una possibile proliferazione dello strumento oltre i confini linguistici.

Il nome dell’azienda che ha condotto questa ricerca è Cisco Talos, un gruppo di esperti che monitora e analizza le minacce informatiche più sofisticate per proteggere infrastrutture critiche in tutto il mondo.

La rivelazione di DKnife non è solo un esempio di ricerca tecnica di alto livello, ma un promemoria di quanto sia cruciale sviluppare difese che guardino oltre le minacce tradizionali e interpretino correttamente segnali complessi per proteggere reti e dati in un panorama digitale sempre più insidioso.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione