文章总结： CiscoTalos发现名为DKnife的Linux工具包，自2019年起被用于劫持路由器流量进行网络间谍活动。该框架包含七个ELF组件，可执行深度包检测、DNS劫持、拦截Android和Windows更新，并植入ShadowPad和DarkNimbus后门。攻击者通过劫持软件下载传播恶意软件，窃取电子邮件凭证和社交媒体数据，甚至干扰杀毒软件通信。其基础设施截至2026年1月仍活跃，与WizardNet活动存在关联。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,网络安全,红队

DKnife 工具包利用路由器进行间谍活动并传播恶意软件

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月9日 09:00 湖北

导读

DKnife 是一款 Linux 工具包，自 2019 年以来一直被用于劫持路由器流量并在网络间谍攻击中传播恶意软件。

攻击者利用它来监视和控制路由器和边缘设备上的网络流量。它可以检查和篡改传输中的数据，并在 PC、手机和物联网设备上安装恶意软件。

Cisco Talos发布的报告指出：“Cisco Talos发现了名为‘DKnife’的恶意软件，这是一个功能齐全的网关监控和中间人攻击（AitM）框架，包含七个基于Linux的植入程序，能够执行深度包检测、操纵流量，并通过路由器和边缘设备传播恶意软件。”

报告还指出： “根据元数据，DKnife至少从2019年就开始使用，其命令与控制（C2）系统截至2026年1月仍然处于活动状态。”

DKnife 会劫持软件下载和安卓应用更新，从而传播ShadowPad和 DarkNimbus 后门。

自 2023 年以来，思科 Talos 一直在追踪MOONSHINE漏洞利用工具包和用于传播移动漏洞的 DarkNimbus 后门。在分析 DarkNimbus 的过程中，Talos 发现了 DKnife，这是一个网关监控和中间人攻击工具包，它隐藏在一个从同一 C2 服务器获取的压缩包中。

元数据显示，攻击者至少从 2019 年就开始使用 DKnife，其基础设施在 2026 年 1 月仍然活跃。Talos 还发现托管 DKnife 和 WizardNet 工具的服务器相同，并将 DKnife 与 WizardNet 活动联系起来。

WizardNet 通过 Spellbinder 的流量劫持攻击传播，它使用与 DKnife 相同的更新劫持方法、URL 路径和端口，这表明它们具有共同的开发或运营渊源。

DKnife 的分析证据表明，该恶意软件会从电子邮件服务中窃取凭证，并从热门社交媒体APP窃取数据。攻击者甚至劫持了网约车应用的安卓更新。

Talos 分析了来自一个 C2 服务器的配置，因此攻击者可能使用其他服务器来攻击不同地区。与此前攻击过菲律宾、柬埔寨和阿联酋的 WizardNet 的关联表明，该恶意软件的攻击范围可能更广。

其中一个核心模块名为“yitiji”，它通过单一本地接口路由流量。该框架由七个专为路由器和边缘设备设计的Linux ELF组件构成，尤其适用于CentOS/RHEL系统。

DKnife 可执行深度包检测、劫持 DNS、拦截 Android 和 Windows 更新、干扰安全流量、监控用户，并植入 ShadowPad 和 DarkNimbus 后门。它会将更新请求重定向到本地恶意服务器，并将合法下载替换为恶意软件，从而使攻击者能够在网络边缘实现完全控制。

DKnife 不仅劫持 Android 更新，还会拦截 Windows 和其他二进制文件的下载，从而传播 ShadowPad 和 DarkNimbus 恶意软件。该工具加载加密的劫持规则，使用基于 QQ TEA 的密钥对其进行解密，并在使用后将其删除。

当受害者下载 .exe 或 .zip 等文件时，DKnife 会将请求重定向到一个恶意安装程序。该安装程序会侧载 ShadowPad 和 DarkNimbus，然后秘密连接到攻击者的真实命令服务器。

DKnife流量检测模块会主动识别并干扰来自杀毒软件和PC管理产品的通信。它通过搜索HTTP头部（例如，GET请求中的DPUname头部或POST请求中的x-360-ver头部）并匹配已知的服务域名来检测360 Total Security。

一旦找到匹配项，该模块会丢弃或以其他方式干扰通过精心构造的TCP RST数据包传输的流量。与此同时，该恶意软件会密切监控用户活动，追踪用户在社交媒体APP和Signal上发送消息、购物、阅读新闻、地图搜索、玩游戏、使用约会应用以及叫车等行为。

该恶意软件还会拦截加密的电子邮件连接并托管钓鱼页面来窃取用户凭证。研究人员还发现，该恶意软件可能以物联网设备为目标，目前相关厂商正在努力寻找缓解措施。

DKnife 下载器是一个 ELF 二进制文件，它会在受感染的 Linux 设备上安装并初始化完整的 DKnife 框架。它会设置 C2 服务器（从本地配置或硬编码的备用方案），生成唯一的设备 ID，启用启动时持久化，下载 DKnife 软件包，并自动启动所有组件。它的作用是准备环境、维护持久化并部署完整的工具集。

DKnife 的组成部分包括：

dknife.bin – DPI 和攻击引擎核心模块，用于检查流量并执行诸如 DNS 劫持、二进制文件和 APK 下载劫持以及用户活动监控等攻击。

postapi.bin – 数据报告器，标记捕获的流量并将收集的数据和事件发送到远程 C2。

sslmm.bin – 反向代理修改版 HAProxy 模块，可终止 TLS、解密电子邮件流量并重新路由 URL 以进行拦截和网络钓鱼。

mmdown.bin – 恶意 APK 更新程序，连接到 C2 服务器以下载和分发恶意 Android 应用程序更新。

yitiji.bin – 数据包转发器，在路由器上创建一个桥接接口，用于托管和路由攻击者注入的 LAN 流量。

remote.bin – P2P VPN 客户端，使用定制的 N2N VPN 构建到远程 C2 的点对点通信隧道。

dkupdate.bin – 更新程序和监视程序，保持所有组件运行和更新，并在组件停止运行时重新启动它们。

报告总结道：“路由器和边缘设备仍然是复杂定向攻击活动的主要目标。随着威胁组织加大力度破坏这些基础设施，了解他们使用的工具和战术、技术和程序 (TTP) 至关重要。”

报告还指出：“DKnife 框架的发现凸显现代攻击干预 (AitM) 威胁的先进能力，这些威胁融合了深度包检测、流量操纵和定制恶意软件投放，并可攻击各种类型的设备。总体而言，证据表明攻击干预框架和后门工具链已高度集成且不断演进，这强调了持续监控路由器和边缘基础设施的必要性。”

完整技术报告：

https://blog.talosintelligence.com/knife-cutting-the-edge/

新闻链接：

DKnife toolkit abuses routers to spy and deliver malware since 2019

今日安全资讯速递

APT事件

Advanced Persistent Threat

DKnife 工具包利用路由器进行间谍活动并传播恶意软件

DKnife toolkit abuses routers to spy and deliver malware since 2019

德国安全机构警告，发现针对欧洲军方官员和记者的网络间谍活动

Hackers Linked to State Actors Target Signal Messages of Military Officials and Journalists

曹县APT37 利用LNK文件部署复杂的恶意软件针对专注于半岛事务的专业人士

Chollima APT Hackers Weaponize LNK Files to Deploy Sophisticated Malware

俄罗斯 APT28 利用微软 Office 漏洞发起恶意软件攻击

Russian hackers are exploiting recently patched Microsoft Office vulnerability (CVE-2026-21509)

Mustang Panda黑客组织利用虚假外交简报安装监控工具

Chinese Mustang Panda Used Fake Diplomatic Briefings to Spy on Officials

Amaranth-Dragon利用 WinRAR 漏洞进行间谍活动

https://thehackernews.com/2026/02/china-linked-amaranth-dragon-exploits.html

一般威胁事件

General Threat Incidents

美国BridgePay支付网关遭勒索软件攻击，导致全国范围服务中断

BridgePay Payment Gateway Hit by Ransomware, Causing Nationwide Outages

Apple Pay 用户遭遇网络钓鱼攻击，支付信息可能被窃取

Apple Pay Users Targeted by Phishing Attack Aimed at Stealing Payment Details

黑客利用免费的 Firebase 账户发起网络钓鱼活动

Hackers Exploit Free Firebase Accounts to Launch Phishing Campaigns

黑客利用域名抢注策略传播恶意软件并窃取敏感信息

Hackers Exploit Cybersquatting Tactics to Spread Malware and Steal Sensitive Information

意大利大学罗马大学（La Sapienza）为应对近期网络攻击，目前仍处于离线状态

Italian university La Sapienza still offline to mitigate recent cyber attack

不安全的数据库暴露了与信息窃取恶意软件活动相关的 1.49 亿条登录信息

http://cysecurity.news/2026/02/unsecured-database-exposes-149-million.html

漏洞事件

Vulnerability Incidents

ACF插件漏洞导致5万个WordPress网站面临管理员权限被盗的风险

https://www.cysecurity.news/2026/02/acf-plugin-flaw-exposes-50000-wordpress.html

CISA确认四个关键企业软件漏洞已被积极利用

https://www.cysecurity.news/2026/02/cisa-confirms-active-exploitation-of.html

美国和英国政府机构警告，敦促各组织更换已停产的边缘设备

https://www.securityweek.com/organizations-urged-to-replace-discontinued-edge-devices/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《DKnife 工具包利用路由器进行间谍活动并传播恶意软件》