كشف باحثون في الأمن السيبراني عن إطار عمل جديد للتجسس الإلكتروني يُعرف باسم DKnife، يُدار من قبل جهات تهديد مرتبطة بالصين منذ عام 2019. الإطار يعتمد على سبعة مكونات برمجية مبنية على نظام Linux، مصممة لفحص الحزم بعمق، التلاعب بحركة المرور، ونشر البرمجيات الخبيثة عبر الموجّهات والأجهزة الطرفية.
الاستهداف يتركز على المستخدمين الناطقين بالصينية، حيث تم رصد صفحات تصيّد لخدمات البريد الإلكتروني الصينية، ووحدات لاستخراج بيانات من تطبيقات مثل WeChat، إضافة إلى إشارات برمجية مرتبطة بمواقع إعلامية صينية.
مكونات DKnife السبعة
الإطار يتكون من وحدات متعددة تؤدي وظائف مختلفة:
- dknife.bin: المكون الأساسي المسؤول عن فحص الحزم، مراقبة النشاط، اختطاف التنزيلات، وتغيير إعدادات DNS.
- postapi.bin: وحدة لنقل البيانات إلى خوادم التحكم.
- sslmm.bin: وكيل عكسي معدل من HAProxy لفك تشفير البريد الإلكتروني وإعادة توجيه الروابط.
- mmdown.bin: وحدة لتحديث وتنزيل ملفات APK الخبيثة.
- yitiji.bin: وحدة تمرير الحزم عبر واجهة TAP لحقن حركة مرور LAN.
- remote.bin: عميل VPN بنظام P2P لإنشاء قناة اتصال مع خوادم التحكم.
- dkupdate.bin: وحدة مراقبة وتحديث للحفاظ على عمل المكونات الأخرى.
قدرات اختطاف وتلاعب واسعة
الإطار قادر على:
- اختطاف تحديثات تطبيقات أندرويد المرتبطة بخدمات الإعلام، الفيديو، التجارة الإلكترونية، الألعاب، وحتى تطبيقات البث الإباحي.
- استبدال تنزيلات ويندوز ببرمجيات خبيثة عبر DLL side-loading لنشر باب خلفي ShadowPad الذي يحمّل لاحقاً DarkNimbus.
- اعتراض اتصالات برامج مكافحة الفيروسات مثل 360 Total Security وخدمات Tencent.
- مراقبة نشاط المستخدمين في الوقت الفعلي وإرسال البيانات إلى خوادم التحكم.
ارتباطات مع مجموعات تهديد أخرى
التحقيقات أظهرت أن DKnife مرتبط بالبنية التحتية لأداة WizardNet التي تستخدمها مجموعة TheWizards، ما يعكس شبكة مترابطة من أدوات التجسس المرتبطة بالصين. كما أن استخدام web shells مثل Behinder وGodzilla يعزز فرضية ارتباطه بمجموعات صينية معروفة.
اكتشاف هذا الإطار يسلط الضوء على تطور تهديدات Adversary-in-the-Middle (AitM) التي تجمع بين فحص الحزم بعمق، التلاعب بحركة المرور، ونشر برمجيات خبيثة مخصصة عبر أجهزة متعددة.
