Investigadores descubren una plataforma de ataque sofisticada, activa desde 2019, que permite a hackers vinculados a China interceptar descargas en tiempo real y desplegar puertas traseras en redes enteras.
Tus dispositivos de borde (routers, gateways) son la primera línea de defensa, pero ¿qué pasa cuando el guardia de seguridad es en realidad el ladrón? Hoy 6 de febrero de 2026, la existencia de DKnife, un conjunto de herramientas maliciosas diseñado para secuestrar routers basados en Linux y utilizarlos como puntos de pivote para operaciones de vigilancia global.
Atribuido a un actor de amenazas del nexo chino, DKnife no es un simple malware; es un framework AitM (Adversary-in-the-Middle) completo. Su capacidad principal es la inspección profunda de paquetes (DPI) para identificar tráfico específico y modificarlo al vuelo, permitiendo ataques que antes requerían acceso físico o control del ISP.
El Mecanismo: Secuestro de Actualizaciones
DKnife opera como un “portero malvado”.
- Vigilancia: Monitorea constantemente el tráfico que pasa por el router infectado, buscando solicitudes de descarga de archivos específicos (como actualizaciones de apps de Android .apk o ejecutables de Windows .exe).
- Intercepción: Cuando la víctima intenta descargar una actualización legítima, DKnife bloquea la respuesta del servidor real.
- Suplantación: Utilizando una red interna virtual y componentes como yitiji.bin, el malware redirige la solicitud a un servidor controlado por los atacantes.
- Infección: La víctima recibe un archivo que parece la actualización que pidió, pero que en realidad contiene backdoors avanzados como ShadowPad o DarkNimbus.
Ecosistema de Malware: WolfsBane y FireWood
El reporte detalla que DKnife rara vez viaja solo. Suele desplegarse junto a dos implantes persistentes:
- WolfsBane: Una puerta trasera furtiva diseñada para espionaje a largo plazo. Es capaz de esconder sus procesos y comunicaciones para evadir la detección de los administradores de sistemas Linux.
- FireWood: Un módulo especializado en la manipulación de tráfico y ejecución de comandos remotos, que actúa como el brazo ejecutor del grupo.
¿Por qué Routers Linux?
Los atacantes se están moviendo hacia el borde (“The Edge”) porque es el punto ciego de la ciberseguridad moderna.
- Sin EDR: No puedes instalar un antivirus convencional en un router o gateway propietario.
- Sin Logs: A menudo, estos dispositivos tienen capacidades de registro limitadas o deshabilitadas por defecto.
- Acceso Total: Controlar el router significa controlar todo el tráfico de la empresa, permitiendo movimientos laterales hacia cualquier servidor o estación de trabajo sin necesidad de exploits adicionales.
Señales de Compromiso
- Comportamiento de Red: Usuarios que reportan descargas fallidas o corruptas, o redirecciones extrañas al intentar actualizar software.
- Tráfico Interno: Aparición de interfaces de red virtuales desconocidas en los routers o tráfico puenteado (bridged) inusual.
- Firmas de Archivos: Hash de actualizaciones descargadas que no coinciden con las publicadas por el fabricante oficial.
