#Dknife
DKnife toolkit abuses routers to spy and deliver malware since 2019
DKnife toolkit abuses routers to spy and deliver malware since 2019
DKnife is a Linux toolkit used since 2019 to hijack router traffic and deliver malware in cyber-espionage attacks.
securityaffairs.com
February 8, 2026 at 10:34 AM
DKnife Linux toolkit hijacks router traffic to spy, deliver malware
DKnife Linux toolkit hijacks router traffic to spy, deliver malware
A newly discovered toolkit called DKnife has been used since 2019 to hijack traffic at the edge-device level and deliver malware in espionage campaigns.
www.bleepingcomputer.com
February 6, 2026 at 6:59 PM
RT
@ashl3y_shen
: NEW research published: We uncover #DKnife, a China-nexus gateway-monitoring framework that intercepts network traffic,…

— from @chompie1337 (https://x.com/chompie1337/status/2019559653844328542)
February 18, 2026 at 3:50 AM
Researchers have uncovered DKnife, a sophisticated AitM framework focusing on network gateways. Originating in China-linked threat groups, this system employs deep packet inspection to hijack and manipulate data transfers across compromised devices.
February 9, 2026 at 11:55 AM
Cisco Talos has identified "DKnife," a sophisticated gateway-monitoring and adversary-in-the-middle (AitM) framework used since at least 2019, targeting primarily Chinese-speaking users.
Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM framework
blog.talosintelligence.com
February 6, 2026 at 5:04 PM
DKnife toolkit abuses routers to spy and deliver malware since 2019 DKnife is a Linux toolkit used since 2019 to hijack router traffic and deliver malware in cyber-espionage attacks. Cisco Talos fo...

#Breaking #news #Hacking #Malware #Mobile #security […]

[Original post on securityaffairs.com]
Original post on securityaffairs.com
securityaffairs.com
February 8, 2026 at 10:46 AM
DKnife toolkit abuses routers to spy and deliver malware since 2019

DKnife is a Linux toolkit used since 2019 to hijack router traffic and deliver malware in cyber-espionage attacks. Cisco Talos found DKnife, a powerful Linux toolkit that threat actors use to spy on and control n…
#hackernews #news
DKnife toolkit abuses routers to spy and deliver malware since 2019
DKnife is a Linux toolkit used since 2019 to hijack router traffic and deliver malware in cyber-espionage attacks. Cisco Talos found DKnife, a powerful Linux toolkit that threat actors use to spy on and control network traffic through routers and edge devices. It inspects and alters data in transit and installs malware on PCs, phones, […]
securityaffairs.com
February 9, 2026 at 10:27 AM
📢⚠️ China-linked DKnife spyware has been hijacking internet routers since 2019 to spy on network traffic and push malicious payloads to Android and Windows devices.

Read: hackread.com/china-dknife...

#CyberSecurity #DKnife #Malware #Android #Windows #China
China-Linked DKnife Spyware Hijacking Internet Routers Since 2019
DKnife, a China-nexus framework is targeting routers and edge devices using stealthy implants to hijack data and deliver malware via AitM attacks.
hackread.com
February 9, 2026 at 10:50 AM
DKnife Implant: Unmasking a Chinese Threat Actor’s Persistent Adversary-in-the-Middle Operations

At AllSafeUs Research Labs, our commitment to tracking emerging and persistent cyber threats is paramount. A recent intelligence brief highlighted a concerning implant dubbed 'DKnife,' which has been…
DKnife Implant: Unmasking a Chinese Threat Actor’s Persistent Adversary-in-the-Middle Operations
At AllSafeUs Research Labs, our commitment to tracking emerging and persistent cyber threats is paramount. A recent intelligence brief highlighted a concerning implant dubbed 'DKnife,' which has been actively employed by a sophisticated Chinese threat actor since at least 2019. This malware specializes in Adversary-in-the-Middle (AiTM) attacks, systematically targeting a broad spectrum of digital environments including desktop, mobile, and Internet of Things (IoT) devices belonging to Chinese users.
allsafeus.com
February 6, 2026 at 8:57 AM
‘DKnife’ Implant Used by Chinese Threat Actor for Adversary-in-the-Middle Attacks Used since at least 2019, DKnife has been targeting the desktop, mobile, and IoT devices of Chinese users. The ...

#Malware #& #Threats #AitM #backdoor #China #DKnife #framework

Origin | Interest | Match
Awakari App
awakari.com
February 6, 2026 at 11:26 AM
DKnife is a China-linked gateway-monitoring and adversary-in-the-middle framework delivering and managing backdoors across desktop, mobile, and IoT since at least 2019.
Save What Matters
Curate Feeds | Make Collections | Customize Email Briefs
briefly.co
February 6, 2026 at 9:00 AM
DKnife can hijack #Android application updates by intercepting the update manifest requests. The targeted applications are mostly popular Chinese-language services.
February 5, 2026 at 1:02 PM
China-Linked DKnife AitM Framework Targets Routers for Traffic Hijacking, Malware Delivery Cybersecurity researchers have taken the wraps off a gateway-monitoring and adversary-in-the-middle (AitM)...

Origin | Interest | Match
February 7, 2026 at 12:45 AM
‘DKnife’ Implant Used by Chinese Threat Actor for Adversary-in-the-Middle Attacks www.securityweek.com/dknife-impla...
‘DKnife’ Implant Used by Chinese Threat Actor for Adversary-in-the-Middle Attacks
Used since at least 2019, DKnife has been targeting the desktop, mobile, and IoT devices of Chinese users.
www.securityweek.com
February 8, 2026 at 11:12 AM
A new advanced initial attack chain (IAC) named "DKNIFE" has been discovered, which is believed to be developed by a China-linked advanced persistent threat (APT) group called "AITM," according to a recent report by Cybereason." The DKNIFE IAC is.
February 7, 2026 at 10:00 AM
🔥 NEW research published: We uncover #DKnife, a China-nexus gateway-monitoring framework that intercepts network traffic, monitors user activity, and delivers malware #Shadowpad & #DarkNimbus via routers and edge devices.
blog.talosintelligence.com/knife-cuttin...
Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM framework
Cisco Talos uncovered “DKnife,” a fully featured gateway-monitoring and adversary-in-the-middle (AitM) framework comprising seven Linux-based implants.
blog.talosintelligence.com
February 5, 2026 at 1:02 PM
中国系ハッカーがLinuxデバイスを標的にトラフィックをリダイレクトしマルウェアを展開

「DKnife」は、Linuxベースのルーターやエッジデバイスを監視ツールへと変える、高度なゲートウェイ監視およびアドバーサリー・イン・ザ・ミドル(AitM)フレームワークです。 少なくとも2019年から活動しているこのキャンペーンは、7種類の異なるLinuxインプラントを用いてネットワークトラフィックを検査し、正規のソフトウェアダウンロードを乗っ取り、高度なマルウェアを展開します。…
中国系ハッカーがLinuxデバイスを標的にトラフィックをリダイレクトしマルウェアを展開
「DKnife」は、Linuxベースのルーターやエッジデバイスを監視ツールへと変える、高度なゲートウェイ監視およびアドバーサリー・イン・ザ・ミドル(AitM)フレームワークです。 少なくとも2019年から活動しているこのキャンペーンは、7種類の異なるLinuxインプラントを用いてネットワークトラフィックを検査し、正規のソフトウェアダウンロードを乗っ取り、高度なマルウェアを展開します。 このフレームワークは2026年1月時点でも活動を継続しており、パーソナルコンピューター、携帯電話、モノのインターネット(IoT)デバイスを標的にしています DKnifeは単純なバックドアではなく、ディープパケットインスペクション(DPI)とトラフィック操作のために設計された包括的なスイートです。このフレームワークは、ネットワークを侵害するために連携して動作する7つのコンポーネント(ELFバイナリ)で構成されています。 中核エンジンであるdknife.binはユーザーの活動を監視し、傍受すべき特定のトラフィックを特定します。「一体機」を意味する中国語の「Yitiji」に由来するyitiji.binという固有のコンポーネントは、感染デバイス上に仮想ネットワークインターフェース(10.3.3.3)を作成します。 これにより実質的に偽のローカルネットワークが構築され、ユーザーに気付かれないまま、攻撃者が乗っ取ったトラフィックを制御下の環境へルーティングできるようになります。 設定ファイルのコメントで使用されている簡体字中国語の例 (Source : Cisco Talos). 他のコンポーネントは、データ流出(postapi.bin)、暗号化トンネル通信(remote.bin)、永続的な更新(dkupdate.bin)を担当します。 更新の乗っ取りによるマルウェア配布 DKnifeの最大の危険性は、ソフトウェア更新に対してAitM攻撃を実行できる点にあります。侵害されたネットワーク上のユーザーが正規のファイルをダウンロードしたり、Androidアプリケーションを更新したりしようとすると、DKnifeがそのリクエストを傍受します。 作成されたAAAA応答は、実際の公開アドレスではありません。DKnifeがその作成されたIPv6宛てのトラフィックを検知すると、アドレスの末尾8バイトを確認し、それをローカルインターフェースアドレス10.3.3.3に変換します。 Android APKダウンロード乗っ取りのワークフロー (Source : Cisco Talos). Androidデバイスに対しては、更新サービスで使用される「manifest」ファイルを改変し、正規ベンダーではなく攻撃者のサーバーへダウンロードをリダイレクトします。 Windowsユーザーに対しては、HTTPリダイレクトを用いて無害なバイナリを悪意のあるものに置き換えます。これらの攻撃は主に2種類のバックドアを配布します: ShadowPad: 中国のスパイ活動グループに広く使用されている、モジュール式のリモートアクセス型トロイの木馬。 DarkNimbus: 複数プラットフォームを標的にできる監視ツール。 抽出された認証情報には「PASSWORD」というタグが付けられ、postapi.binコンポーネントへ転送され、最終的にリモートのC2サーバーへ中継されます。 パスワードを 転送する コード (Source : Cisco Talos). 観測されたある事例では、攻撃者は正規の実行ファイル(TosBtKbd.exe)を、ShadowPadマルウェアをサイドロードするバージョンに置き換えていました。 中国ユーザーを標的に Talosの研究者は、DKnifeが中国系の脅威アクターによって運用されていると高い確度で指摘しています。コードおよび設定ファイルには、「Yitiji」という命名規則を含め、簡体字中国語への複数の言及が含まれています。 このシステムは、ファイル送信やこれらのプラットフォームでの友だち追加など、ユーザーの「インターネット上の行動」に関する詳細なレポートを作成します。 さらに、このフレームワークは中国のサービスを監視・悪用するよう明確に調整されています。中国のメールプロバイダーから認証情報を収集するための特定モジュールを含み、WeChatやQQといった人気アプリ上のユーザー活動を追跡します。 調査により、DKnifeと別のマルウェアキャンペーン「WizardNet」との間に、インフラ面での直接的な関連が明らかになりました。 Talosは、DKnifeのコマンド&コントロール(C2)サーバー(43.132.205[.]118)が、2025年4月にESETが公表したバックドアであるWizardNetもホスティングしていたことを確認しました。 WizardNetは、同様の手法で更新を乗っ取る別のAitMフレームワーク「Spellbinder」によって展開されることが知られています。この重なりは、異なる中国のハッキンググループが開発リソースや運用上の戦術を共有している可能性を示唆します。 翻訳元:
blackhatnews.tokyo
February 9, 2026 at 10:21 AM
--7% of OpenClaw contains flaws that expose sensitive credentials,
--CISA warns of attackes SmarterTools SmarterMail business email and collaboration servers,
--Chinese threat actors have been operating an AitM framework called DKnife,
--ShadowSyndicate cybercrime cluster has been expanded, 5/6
February 6, 2026 at 3:08 PM
DKnife: il framework di spionaggio Cinese che manipola le reti

📌 Link all'articolo : www.redhotcyber.com/post/dkn...

#redhotcyber #news #cybersecurity #hacking #malware #ransomware #sicurezzainformatica #spionaggioinformatico
February 6, 2026 at 8:57 AM
Kit de herramientas DKnife para Linux secuestra el tráfico del router para espiar y distribuir malware. (Inglés)

Vía: @bleepingcomputer.com
DKnife Linux toolkit hijacks router traffic to spy, deliver malware
A newly discovered toolkit called DKnife has been used since 2019 to hijack traffic at the edge-device level and deliver malware in espionage campaigns.
www.bleepingcomputer.com
February 6, 2026 at 11:57 PM
February 10, 2026 at 9:15 PM