DKnifeとは何か ── 7年間潜伏したゲートウェイ監視フレームワーク

2026年2月5日、Cisco Talosは「Knife Cutting the Edge」と題したレポートを公開し、中国系脅威アクターが少なくとも2019年から運用してきたゲートウェイ監視・AitM(Adversary-in-the-Middle)フレームワーク「DKnife」の全貌を明らかにした。DKnifeは7つのLinuxベース(x86-64 ELF)インプラントで構成されるモジュラー型ツールキットであり、侵害済みのエッジデバイスやルーター上で動作し、通過するトラフィックの傍受・改ざん・マルウェア配信を実行する。

同レポートによれば、DKnifeのC2(コマンド&コントロール)インフラは2026年1月時点でもなお稼働が確認されており、7年以上にわたって検知を回避し続けてきた。脅威アクターはEarth Minotaurクラスタとの関連が指摘されており、ShadowPad、DarkNimbus、WizardNetといった既知のバックドアとインフラを共有している。エッジデバイスという「盲点」を突いた長期作戦は、従来のエンドポイント防御の限界を浮き彫りにしている。

7つのLinuxインプラント ── DKnifeのモジュラーアーキテクチャ

DKnifeの最大の特徴は、単一の巨大バイナリではなく、役割ごとに分離された7つのコンポーネントで構成される点である。各インプラントはLinux上でELFバイナリとして動作し、それぞれが特定の機能を担う。

dknife.bin(DPIエンジン)はフレームワークの中核であり、ディープパケットインスペクション(DPI)とトラフィック操作を担当する。設定ファイル/dksoft/conf/wxha.confからJSON形式のハイジャックルールを読み込み、185以上のアプリケーションに対するトラフィック傍受テンプレートを適用する。DNS応答の改ざん、バイナリダウンロードのすり替え、パケットの書き換えといったAitM攻撃の本体がここに実装されている。

postapi.bin(データリレー)はdknife.binが収集したデータをC2サーバーへ転送する中継モジュールである。UDPポート7788でリッスンし、256バイトのUDPデータグラムに7バイトの「DK7788」プレフィックスを付与して通信する。sslmm.bin(リバースプロキシ)はHAProxyを改造したTLS終端プロキシで、自己署名証明書を提示してPOP3/IMAP接続を復号し、メール認証の平文ユーザー名・パスワードを「PASSWORD」タグ付きで抽出する。

yitiji.bin(パケットフォワーダー)は仮想ブリッジTAPインターフェースをIP 10.3.3.3で作成し、攻撃者が注入したLANトラフィックのルーティングを可能にする。名称は中国語の「一体機(オールインワンマシン)」に由来するとされている。mmdown.bin(APKダウンローダー)はAndroid向け不正APKの配布を担い、正規アプリのアップデートをハイジャックしてトロイの木馬化されたAPKを配信する。

remote.bin(P2P VPNクライアント)はN2Nピアツーピア VPNを用いてC2との暗号化通信チャネルを確立し、インフラのテイクダウン耐性を高める。dkupdate.bin(ウォッチドッグ)はフレームワーク全体の更新管理と永続化を担当し、各コンポーネントの死活監視と自動アップデートを行う。

AitM攻撃チェーン ── DNSハイジャックからShadowPad配信まで

DKnifeのAitM攻撃は、ルーター上のゲートウェイポジションを活用した多段階のキルチェーンで構成される。第一段階はDNSハイジャックである。dknife.binが被害者のDNSクエリを傍受し、正規サーバーのIPアドレスの代わりに攻撃者が管理するIPを返答する。被害者は気づかないまま攻撃者のサーバーに接続する。

第二段階はバイナリの差し替えである。被害者が正規サイトからソフトウェアをダウンロードしようとすると、DKnifeがリクエストを検知し、.exe、.rar、.zip、.apkファイルを攻撃者が用意したトロイの木馬に置換する。ファイル名やアイコンは正規のものと同一であるため、被害者は異変に気づかない。

第三段階でShadowPadが登場する。Cisco Talosが確認した事例では、ASUS製キーボードドライバの正規バイナリ(TosBtKbd.exe)がDLLサイドローディングに悪用されていた。被害者がダウンロードした実行ファイルが同一ディレクトリのTosBtKbd.dll(ShadowPadローダー)を読み込み、さらにTosBtKbdLayer.dll(DarkNimbusバックドア)をロードする。注目すべきは、DarkNimbusがCloudflareのパブリックDNS(1.1.1.1)へのDNSクエリを発行するよう設定されている点である。通常、ファイアウォールはCloudflare DNSへの通信を許可しているが、dknife.binがこのDNSクエリを再び傍受し、実際のC2 IPアドレスを返答することで、ファイアウォールの制御を回避する。

標的プロファイルとDPI監視の実態

DKnifeのDPIエンジンに組み込まれた185以上のハイジャックテンプレートは、その標的プロファイルを如実に示している。WeChat、QQ、Signalなどのメッセージングアプリ、Taobao・JD.com・Alipayなどの電子商取引プラットフォーム、さらには地図アプリケーションやライドヘイリングサービスの利用パターンまでが監視対象に含まれる。

sslmm.binによるメール認証情報の窃取は、QQ Mail、Sina、163.comなど中国系メールプロバイダに特化している。加えて、セキュリティ製品の通信を選択的にブロック・スロットリングする機能も確認されており、ウイルス対策ソフトのアップデートや脅威インテリジェンスフィードの取得を妨害する。ソースコード内の変数名やC2への送信ラベルには簡体字中国語が使用されており、ShadowPadサンプルには四川省を拠点とするソフトウェア企業の暗号署名が含まれていたと報告されている。

これらの証拠から、Cisco Talosは高い確信度で中国系脅威アクターによる作戦と評価している。Earth Minotaurクラスタとの関連に加え、同一インフラ上でWizardNetバックドアがポート8881で展開されていた事実は、TheWizards APTグループとの連携を示唆している。

エッジデバイス防衛の優先施策

DKnifeの事例は、エッジデバイスのセキュリティが組織防衛の最前線であることを改めて証明している。以下に、優先度の高い防衛施策を整理する。

第一に、ルーターのファームウェア管理とハードニングである。ファームウェアを最新版に更新し、デフォルトの管理者認証情報を変更する。リモート管理アクセスを無効化し、管理インターフェースへのアクセスをファイアウォールルールで制限する。DKnifeのようなフレームワークはファームウェアの脆弱性や認証情報の不備を初期アクセスに利用するため、基本的な衛生管理が最も効果的な防御層となる。

第二に、ネットワークレベルの異常検知である。DNS応答パターンの監視(DNSシンクホーリング)、既知のC2 IP(47.93.54[.]134、117.175.185[.]81等)への接続アラート、内部ネットワーク上の自己署名証明書の検出を実施する。UDPポート7788のリッスンや/dksoft/ディレクトリの存在はDKnife固有のアーティファクトであり、IOCとして監視に組み込むべきである。

第三に、ソフトウェアアップデートの暗号学的検証である。バイナリダウンロードのすり替えはDKnifeの主要な攻撃ベクターである。コード署名の検証を厳格化し、アップデートメカニズムを認証済み暗号化チャネル上で実行することで、AitM攻撃によるペイロード注入を防止できる。Android端末ではAPK署名の検証とサイドローディングの制限が重要である。

第四に、メールプロトコルのTLS強制である。POP3/IMAPの平文認証を廃止し、STARTTLS/DANEを展開してメールプロトコルのMITMを防止する。多要素認証の導入と併せて、認証情報の窃取リスクを根本から低減する。

第五に、ネットワークセグメンテーションの見直しである。IoTデバイスを独立したセグメントに分離し、セグメント間トラフィックの監視を実施する。DKnifeはゲートウェイレベルで動作するため、ネットワーク全体が単一のブロードキャストドメインにある場合、すべてのデバイスが監視対象となる。セグメント分離により、侵害の影響範囲を限定できる。

FAQ

DKnifeフレームワークとは何ですか?

DKnifeは、2026年2月にCisco Talosが公開した中国系脅威アクターによるゲートウェイ監視・AitMフレームワークである。7つのLinuxインプラントで構成され、侵害済みルーター上でDPI・トラフィック操作・マルウェア配信を実行する。2019年から7年以上にわたり運用されてきた。

DKnifeはどのようにShadowPadを配信しますか?

ルーター上のDPIエンジンがソフトウェアダウンロードを検知し、正規バイナリをトロイの木馬に差し替える。差し替えられたファイルはDLLサイドローディングを通じてShadowPadローダーを実行し、さらにDarkNimbusバックドアを展開する。

DKnifeの影響を受けるデバイスは何ですか?

Linuxベースのファームウェアを搭載したエッジデバイスやルーターが主な標的である。PPPoE・VLAN・ブリッジインターフェースをサポートするASUS、TP-Link、D-Link、Ubiquiti等の製品が影響を受ける可能性がある。

自社ネットワークがDKnifeに侵害されているか確認する方法は?

UDPポート7788のリッスン、/dksoft/ディレクトリの存在、IP 10.3.3.3のTAPインターフェース、C2アドレス(47.93.54[.]134等)への通信を確認する。Cisco TalosのGitHubリポジトリで公開された77件のSHA-256ハッシュとの照合も有効である。

AitM攻撃とフィッシングの違いは何ですか?

フィッシングが偽サイトへの誘導を必要とするのに対し、AitMはネットワーク経路上(この場合はルーター)に位置して通信を傍受・改ざんする。被害者は正規のURLにアクセスしているにもかかわらず、攻撃者のコンテンツが配信される点が決定的に異なる。

参考文献