Imagina que tens um "porteiro" digital na tua casa ou empresa que, em vez de proteger a entrada, abre todas as tuas cartas, lê as tuas mensagens e ainda deixa entrar convidados indesejados sem te avisar. É exatamente assim que funciona o DKnife, um kit de malware sofisticado que tem passado despercebido desde 2019 e que continua ativo em janeiro de 2026, comprometendo routers e dispositivos de rede para espiar os utilizadores.
A descoberta, revelada pela Cisco Talos, expõe uma campanha de espionagem persistente que visa sequestrar o tráfego de internet diretamente na fonte, permitindo aos atacantes monitorizar atividades e entregar software malicioso sem que o utilizador final se aperceba.
Um espião invisível na porta de entrada
Ao contrário dos vírus tradicionais que infetam diretamente o computador ou o telemóvel, o DKnife ataca os dispositivos de "borda" (edge devices), como routers e gateways de rede. Uma vez instalado, este framework atua como um "Adversary-in-the-Middle" (AitM), intercetando todo o tráfego que passa pelo dispositivo antes de este chegar ao seu destino.
Os investigadores identificaram que o DKnife é composto por sete módulos distintos baseados em Linux, concebidos para realizar uma inspeção profunda de pacotes (DPI). Isto significa que o malware consegue abrir e analisar os dados que circulam na rede, manipular o tráfego e até sequestrar pedidos de DNS.
Para o utilizador comum, a navegação parece normal, mas nos bastidores, o DKnife cria uma interface de rede virtual (TAP) no router. Esta "ponte" permite aos atacantes desviar o tráfego, injetar conteúdos maliciosos e roubar credenciais, tudo isto enquanto permanecem ocultos no equipamento de rede que raramente é verificado por antivírus convencionais.
O arsenal do DKnife: monitorização total
O objetivo principal desta ferramenta parece ser a vigilância apertada. O malware tem a capacidade de monitorizar o uso de aplicações específicas, com um foco particular em plataformas populares na China, como o WeChat. No entanto, a sua "curiosidade" estende-se a outras áreas, recolhendo dados sobre o uso de aplicações de mapas, hábitos de compras online e até chamadas de voz e vídeo.
A análise da Cisco Talos indica que o DKnife também consegue vigiar aplicações de mensagens encriptadas, como o Signal, embora o foco na recolha de metadados e padrões de uso seja evidente.
Além da espionagem, o DKnife funciona como uma plataforma de lançamento para outras ameaças. O sistema é capaz de intercetar downloads legítimos e substituí-los por versões infetadas, entregando backdoors conhecidos como o ShadowPad e o DarkNimbus. Em dispositivos Android ligados à rede comprometida, o malware pode até sequestrar atualizações de aplicações para instalar ficheiros APK maliciosos.
Com servidores de comando e controlo ainda ativos neste início de 2026 e artefactos de código que apontam para autores de língua chinesa, o DKnife representa uma ameaça contínua e silenciosa, transformando o equipamento que deveria garantir a nossa ligação ao mundo no nosso maior delator.
Nenhum comentário
Seja o primeiro!