Toolkit Linux DKnife Membajak Lalu Lintas Router untuk Memata-matai dan Menyebar Malware

Sebuah toolkit berbahaya bernama DKnife terungkap telah digunakan sejak 2019 untuk membajak lalu lintas jaringan pada level edge device seperti router, memungkinkan pelaku memata-matai aktivitas pengguna sekaligus mendistribusikan malware dalam kampanye spionase siber.

Temuan ini diungkap oleh peneliti keamanan dari Cisco Talos, yang menjelaskan bahwa DKnife berfungsi sebagai post-compromise framework untuk pemantauan lalu lintas jaringan dan aktivitas adversary-in-the-middle (AitM). Toolkit ini dirancang untuk mencegat, menganalisis, serta memanipulasi data yang mengalir menuju berbagai endpoint di dalam jaringan, termasuk komputer, perangkat mobile, dan perangkat IoT.

DKnife dikembangkan sebagai framework ELF berbasis Linux yang terdiri dari tujuh komponen utama. Modul-modul ini mendukung inspeksi paket mendalam (deep packet inspection), manipulasi lalu lintas, pencurian kredensial, hingga pengantaran malware. Artefak berbahasa Mandarin Sederhana yang ditemukan dalam nama komponen dan komentar kode, serta fokus penargetan pada layanan dan aplikasi asal Tiongkok, membuat para peneliti menilai dengan tingkat keyakinan tinggi bahwa operator DKnife berafiliasi dengan aktor ancaman yang memiliki keterkaitan dengan Tiongkok.

Para peneliti belum dapat memastikan bagaimana perangkat jaringan awalnya dikompromikan. Namun, mereka menemukan bahwa DKnife berinteraksi dan mengirimkan backdoor ShadowPad dan DarkNimbus, dua malware yang telah lama dikaitkan dengan kelompok ancaman asal Tiongkok.

Tujuh komponen utama DKnife memiliki peran spesifik, mulai dari inspeksi paket, komunikasi dengan server kendali (command-and-control/C2), pembuatan antarmuka jaringan virtual, hingga pengunduhan dan pembaruan malware. Salah satu komponen kunci memungkinkan pembuatan antarmuka TAP virtual pada router dan menjembataninya ke jaringan lokal, sehingga penyerang dapat mencegat serta menulis ulang paket data yang sedang melintas.

Dengan mekanisme tersebut, DKnife mampu menyisipkan malware ke dalam proses pembaruan aplikasi Android atau unduhan biner Windows di jaringan korban. Peneliti Cisco Talos mengamati pengiriman backdoor ShadowPad pada sistem Windows, yang bahkan ditandatangani dengan sertifikat perusahaan asal Tiongkok, lalu diikuti oleh pemasangan DarkNimbus. Pada perangkat Android, malware dikirimkan secara langsung oleh DKnife.

Selain pengantaran payload, DKnife juga memiliki kapabilitas lanjutan seperti pembajakan DNS, penyadapan pembaruan aplikasi Android dan biner Windows, pencurian kredensial melalui dekripsi POP3 dan IMAP, penyajian halaman phishing, hingga gangguan terhadap lalu lintas produk keamanan. Toolkit ini juga memantau aktivitas pengguna secara luas, termasuk penggunaan aplikasi pesan, peta, konsumsi berita, aktivitas panggilan, layanan transportasi, dan belanja daring.

Aktivitas di platform WeChat dipantau secara lebih mendalam, mencakup panggilan suara dan video, pesan teks, gambar yang dikirim dan diterima, serta artikel yang dibaca. Seluruh data aktivitas pengguna dikumpulkan secara real-time seiring paket data melewati gateway yang telah terinfeksi, lalu diekstraksi ke server C2 melalui permintaan HTTP POST.

Hingga Januari 2026, infrastruktur server C2 yang digunakan oleh DKnife masih terpantau aktif. Cisco Talos telah merilis indikator kompromi (indicators of compromise/IoC) lengkap terkait aktivitas ini, guna membantu organisasi mendeteksi dan memitigasi ancaman serupa.

Temuan ini menegaskan bahwa perangkat jaringan seperti router kini menjadi target strategis dalam operasi spionase siber modern. Dengan menanamkan malware di titik lalu lintas utama, pelaku dapat memantau dan memanipulasi data pengguna secara luas tanpa harus menginfeksi setiap perangkat satu per satu.