DKnife

Les chercheurs de Cisco Talos ont dévoilé DKnife, un framework de surveillance de passerelle et d’attaque de type Adversary-in-the-Middle, utilisé depuis au moins 2019 et dont l’infrastructure de commande et contrôle est toujours active en janvier 2026.

L’outil s’exécute sur des équipements réseau Linux (routeurs, passerelles,etc..) et permet l’interception, la manipulation et le détournement de trafic réseau.

DKnife se compose de sept implants ELF Linux, intégrant des capacités de Deep Packet Inspection, de détournement DNS, de remplacement de téléchargements légitimes (APK Android, binaires Windows) et de livraison de malwares.

Il est également utilisé pour déployer et piloter les backdoors ShadowPad et DarkNimbus, connues pour leur usage dans des campagnes d’espionnage attribuées à des acteurs liés à la Chine.

L’analyse de Talos dévoile un ciblage prioritaire d’utilisateurs sinophones, confirmé par :

• des artefacts en chinois simplifié dans le code et les fichiers de configuration
• des modules d’exfiltration dédiés à des services et des applications mobiles chinoises
• des références explicites à des domaines médias chinois.

Source : Cisco Talos