DKnife-Malware: Router als Spionage-Plattform für Smartphones

Forscher enthüllen eine hochgefährliche Schadsoftware, die heimische WLAN-Router in Spionagezentralen verwandelt – und gezielt Android-Smartphones angreift. Ein aktueller Bericht des Sicherheitsunternehmens Cisco Talos beschreibt das als „DKnife“ bekannte Werkzeug, das seit mindestens 2019 unentdeckt operierte. Diese Enthüllung stellt die Netzwerksicherheit auf den Kopf: Ausgerechnet die Geräte, die ein lokales Netz schützen sollen, werden zur größten Gefahr für die persönlichsten Technologien.

Die Entdeckung fällt mit einer wichtigen US-Behördenanweisung zusammen. Die Cybersicherheitsbehörde CISA ordnete erst kürzlich an, dass Bundesbehörden nicht mehr unterstützte Router und Firewalls ersetzen müssen. Diese Maßnahme unterstreicht die gravierenden, oft übersehenen Schwachstellen in Netzwerk-Hardware, die Angreifer aktiv ausnutzen. Bedrohungen wie DKnife machen deutlich: Die Sicherheit der Internet-Gateways von Millionen Nutzern muss dringend verbessert werden.

So funktioniert die heimliche Spionage

Das DKnife-Framework ist ein modulares Werkzeug für sogenannte „Adversary-in-the-Middle“-Angriffe. Es wird auf Linux-basierten Routern installiert und positioniert sich unsichtbar zwischen den Geräten der Nutzer und dem Internet. Von dieser zentralen Stelle aus kann es den gesamten Datenverkehr überwachen, abfangen und sogar manipulieren. Angreifer erhalten so eine mächtige Basis für Spionage und die Verteilung weiterer Schadsoftware.

Die Untersuchung von Cisco Talos zeigt: DKnife besteht aus sieben Komponenten, die zusammen ein hartnäckiges und tarnfähiges Überwachungssystem bilden. Die zugehörigen Kommandoserver waren noch bis Januar 2026 aktiv. Zwar zielt die Kampagne primär auf chinesischsprachige Nutzer ab, doch die dahintersteckende Technik stellt eine globale Bedrohung dar. Sie markiert eine neue Stufe der Angriffssophistikation – weg vom einfachen PC, hin zum Kern der Netzwerkinfrastruktur.

Router und Gateways sind längst keine Nebenfront mehr – wie dieser Bericht zeigt, werden sie zur Startrampe für Smartphone‑Malware. Viele Unternehmen und Privatnutzer sind darauf nicht vorbereitet: Studien sprechen davon, dass ein großer Teil der Firmen Sicherheitslücken übersehen. Der kostenlose E‑Book‑Leitfaden fasst aktuelle Cyber‑Security‑Trends zusammen und liefert sofort umsetzbare Maßnahmen (Firmware‑Checks, Netzsegmentierung, mobile Schutzschichten), ideal für IT‑Verantwortliche und sicherheitsbewusste Haushalte. Cyber‑Security‑E‑Book kostenlos herunterladen

Gefährlichster Trick: Der manipulierte App-Update

Besonders alarmierend ist eine spezielle Funktion von DKnife: das gezielte Kompromittieren von Smartphones. Die Malware erkennt und fängt Update-Mechanismen für Android-Geräte ab. Versucht ein Nutzer im infizierten Netzwerk, eine legitime App zu aktualisieren, manipuliert DKnife den Datenverkehr.

Statt des echten Updates erhält das Smartphone eine schädliche Nutzlast, wie die Backdoors DarkNimbus oder ShadowPad. Der Router wird so zur Startrampe für die Infektion von Handys – den Schatzkammern persönlicher Daten wie Bankdetails, privater Nachrichten und Standortverläufe. Diese Methode ist besonders tückisch, weil sie das Vertrauen der Nutzer in ihr eigenes WLAN-Netz und routinemäßige Software-Updates ausnutzt.

Das systemische Problem: Unsichere Router als Einfallstor

Die von DKnife ausgehende Gefahr wird durch einen weit verbreiteten Missstand verstärkt: die mangelhafte Sicherheit von Consumer- und Kleinunternehmens-Routern. Die CISA-Anweisung zeigt ein systemisches Problem auf. Viele Router laufen jahrelang mit veralteter Firmware, schwachen Standardpasswörtern und nie geschlossenen Sicherheitslücken.

In diesem Umfeld der Vernachlässigung konnten sich bereits Botnetze wie Kimwolf und Aisuru ausbreiten, die Hunderttausende unsicherer Heimrouter kaperten. DKnife stellt eine Evolution dieser Bedrohung dar: Statt Router nur für grobe DDoS-Angriffe zu missbrauchen, setzt es sie für gezielte, hochsophisticierte Spionage innerhalb eines Netzwerks ein.

Was Nutzer jetzt tun müssen

Die Aufdeckung des DKnife-Frameworks ist eine kritische Warnung: Netzwerksicherheit muss beim Router beginnen. Das alte Modell, sich nur auf Endgeräte wie Laptops und Smartphones zu konzentrieren, reicht nicht mehr aus, wenn das Gateway selbst zur Waffe wird.

Für Verbraucher und Unternehmen bedeutet das:
* Firmware-Updates regelmäßig prüfen und einspielen.
* Standard-Benutzernamen und -Passwörter durch starke, individuelle Zugangsdaten ersetzen.
* Fernverwaltungs-Funktionen deaktivieren, sofern nicht zwingend nötig.
* Reputable Sicherheitssoftware für Mobilgeräte als zusätzliche Schutzschicht nutzen.

Die digitale Haustür zu unseren Wohnungen und Büros zu sichern, ist angesichts innovativer Angreifer wichtiger denn je.

PS: Wenn Sie jetzt aktiv werden wollen, hilft ein praxisorientierter Leitfaden beim schnellen Schutz von Router und Mobilgeräten. Der kostenlose Report zeigt konkrete Schritte – von einer einfachen Update‑Checkliste über Empfehlungen zur Absicherung der Remote‑Verwaltung bis zu Basismaßnahmen für Android‑Schutz. Besonders hilfreich für kleine Firmen und technisch versierte Privatnutzer, die ohne großen Aufwand Risiken senken möchten. Jetzt Cyber‑Security‑Report anfordern