中国系ハッカー集団の新フレームワーク「DKnife」― ルーターを乗っ取り通信を傍受・マルウェア配信する巧妙な手口

サイバーセキュリティ研究者らが、中国系脅威アクターによって少なくとも2019年から運用されている高度なAitM（Adversary-in-the-Middle：中間者攻撃）フレームワーク「DKnife」の全容を明らかにしました。このフレームワークはルーターやエッジデバイスを標的とし、通信の傍受、認証情報の窃取、マルウェアの配信を行う極めて危険なツールキットです。本記事では、DKnifeの技術的な構成、攻撃手法、そして関連する脅威グループとの繋がりについて解説します。

この記事のポイント
DKnifeフレームワークの技術的構成
攻撃手法の詳細
脅威アクターとの関連性
知っておくと便利なTips
まとめ

この記事のポイント

DKnifeは7つのLinuxベースのインプラントで構成され、ディープパケットインスペクション（DPI）、DNS乗っ取り、マルウェア配信を実行する
Androidアプリの更新やWindowsバイナリのダウンロードを乗っ取り、ShadowPadバックドアなどを配信する
中国系APTグループ「TheWizards」のインフラと重複が確認され、東南アジアを中心とした地域が標的

DKnifeフレームワークの技術的構成

DKnifeは、ELFダウンローダーを通じて展開される7つのLinuxベースのインプラントで構成されています。中核となる「dknife.bin」はディープパケットインスペクション、DNSハイジャック、バイナリダウンロードの改ざんを担当します。「postapi.bin」はC2（コマンド＆コントロール）サーバーへのデータ中継モジュール、「sslmm.bin」はHAProxyベースのリバースプロキシで、TLS終端処理やメールの復号を行います。

さらに、「mmdown.bin」はハードコードされたC2サーバーに接続するAPKダウンローダー、「yitiji.bin」はブリッジされたTAPインターフェースを作成するパケットフォワーダー、「remote.bin」はP2P VPNクライアント、そして「dkupdate.bin」は各コンポーネントの整合性を維持するウォッチドッグ兼アップデーターです。これらが連携することで、ルーターレベルでの包括的な通信傍受・操作が可能となっています。

攻撃手法の詳細

DKnifeの攻撃能力は多岐にわたります。まず、ディープパケットインスペクションにより、ユーザーの通信活動を秘密裏に監視するだけでなく、インラインでの積極的な攻撃を実行できます。具体的には、中国のニュースアプリ、動画ストリーミング、ECサイト、ゲームアプリなどのAndroidアプリケーション更新をハイジャックし、悪意あるAPKに差し替えることが可能です。

Windowsユーザーに対しては、バイナリダウンロードを置き換えることで、DLLサイドローディングを利用したShadowPadバックドアを配信します。また、POP3/IMAP接続を傍受して中国のメールサービスの認証情報を窃取し、360 Total SecurityやTencentのセキュリティサービスとの通信を妨害してアンチウイルスの無力化も試みます。DNS乗っ取りはIPv4とIPv6の両方に対応しており、幅広いネットワーク環境で攻撃を展開できます。

脅威アクターとの関連性

DKnifeのインフラは、APTグループ「TheWizards」が展開するSpellbinder AitMフレームワークを通じてデプロイされるWindowsインプラント「WizardNet」と重複していることが確認されています。この関連性は、中国系脅威グループ間の協力関係を示唆しています。主な標的地域は東南アジアで、カンボジア、香港、フィリピン、UAEが含まれます。

また、このフレームワークは通信傍受を通じて「DarkNimbus」や「ShadowPad」などのバックドアを配信していることも判明しています。標的は主に中国語話者であり、中国のメールサービス向けフィッシングページ、WeChatなどの中国製アプリを狙う情報窃取モジュール、地域固有のデプロイメントを示す設定ファイルなどが証拠として挙げられています。

知っておくと便利なTips

ルーターやエッジデバイスのファームウェアは常に最新版に更新し、既知の脆弱性を放置しないことが重要です
ネットワーク上の異常なDNS応答やTLS証明書の変更を監視するツールを導入しましょう
アプリケーションのダウンロードは必ず公式ストアから行い、サイドローディングは避けましょう
エッジデバイスのログを定期的に確認し、不審なプロセスやネットワーク接続がないかチェックすることを推奨します

まとめ

DKnifeフレームワークは、ルーターやエッジデバイスという従来見過ごされがちなインフラを標的とした、高度かつ包括的な攻撃ツールキットです。7つのインプラントが連携してディープパケットインスペクション、DNS乗っ取り、アプリケーション更新のハイジャック、認証情報の窃取を実行し、ShadowPadやDarkNimbusといった強力なバックドアを配信します。中国系APTグループ間の協力関係も示唆されており、東南アジアを中心とした地域への脅威は継続しています。組織のセキュリティ担当者は、エッジデバイスのセキュリティ強化と通信監視の見直しを急ぐべきでしょう。

📎 元記事: https://thehackernews.com/2026/02/china-linked-dknife-aitm-framework.html