中国系ハッカー集団の新たな脅威「DKnife」
セキュリティ研究者らは、中国関連のハッカー集団が「DKnife」と呼ばれる洗練されたゲートウェイ監視および中間者攻撃(AitM)フレームワークを使用して、Linuxベースのルーターやエッジデバイスを監視ツールに変えていることを警告しています。このキャンペーンは少なくとも2019年から活動しており、2026年1月現在も継続中で、個人コンピュータ、携帯電話、IoTデバイスが標的となっています。
DKnifeの機能と構成:高度なトラフィック操作フレームワーク
DKnifeは単なるバックドアではなく、ディープパケットインスペクション(DPI)とトラフィック操作のために設計された包括的なスイートです。このフレームワークは、ネットワークを侵害するために連携して動作する7つのコンポーネント(ELFバイナリ)で構成されています。
- dknife.bin: コアエンジンであり、ユーザーの活動を監視し、傍受する特定のトラフィックを識別します。
- yitiji.bin: 中国語で「オールインワンマシン」を意味する「Yitiji」に由来し、感染したデバイス上に仮想ネットワークインターフェース(10.3.3.3)を作成します。これにより、偽のローカルネットワークが構築され、攻撃者はユーザーに警告することなく、ハイジャックしたトラフィックを制御された環境経由でルーティングできます。
- postapi.bin: データ窃取を処理します。
- remote.bin: 暗号化されたトンネル通信を管理します。
- dkupdate.bin: 持続的なアップデートを担当します。
マルウェアの展開手口:アップデートハイジャックによる侵入
DKnifeの主な危険性は、ソフトウェアアップデートに対するAitM攻撃を実行する能力にあります。侵害されたネットワークのユーザーが正規のファイルをダウンロードしようとしたり、Androidアプリケーションを更新しようとすると、DKnifeはそのリクエストを傍受します。
- Androidデバイスの場合: フレームワークはアップデートサービスが使用する「マニフェスト」ファイルを改変し、ダウンロード先を正規のベンダーではなく攻撃者のサーバーにリダイレクトします。
- Windowsユーザーの場合: HTTPリダイレクトを利用して、無害なバイナリを悪意のあるものに置き換えます。
これらの攻撃により、主に以下の2種類のバックドアが配布されます。
- ShadowPad: 中国の諜報機関が広く使用するモジュール型リモートアクセス型トロイの木馬(RAT)。
- DarkNimbus: 複数のプラットフォームを標的とできる監視ツール。
実際に観察されたケースでは、攻撃者は正規の実行ファイル(TosBtKbd.exe)を、ShadowPadマルウェアをサイドロードするバージョンに置き換えていました。
中国関連の標的と関連性:中国語の痕跡と国内サービスへの狙い
Talosの研究者たちは、DKnifeが中国関連の脅威アクターによって運用されていると非常に高い確信を持って指摘しています。コードや設定ファイルには、中国語の簡体字表記が複数含まれており、「Yitiji」という命名規則もその一例です。このシステムは、ユーザーの「インターネット行動」に関する詳細なレポートを作成し、中国の電子メールプロバイダから認証情報を収集したり、WeChatやQQといった人気アプリでのユーザー活動を追跡する特定のモジュールを含むなど、中国のサービスを監視・悪用するよう明確に調整されています。
インフラの関連性:WizardNetとの連携と広がる脅威
調査により、DKnifeと「WizardNet」(別のマルウェアキャンペーン)の間に直接的なインフラストラクチャの関連性が明らかになりました。Talosは、DKnifeのコマンド&コントロール(C2)サーバー(43.132.205[.]118)が、2025年4月にESETによって開示されたバックドアであるWizardNetもホストしていたことを発見しました。WizardNetは、アップデートをハイジャックする同様の技術を使用する別のAitMフレームワーク「Spellbinder」によって展開されることが知られています。この重複は、異なる中国のハッキンググループが開発リソースや運用戦術を共有している可能性を示唆しています。