Cisco Talos enttarnt DKnife: Chinesische Hacker kapern Router und App-Updates

Forscher enthüllen eine seit Jahren aktive Spionagekampagne, die über kompromittierte Router Android-Geräte infiziert. Der Schwerpunkt liegt auf chinesischsprachigen Nutzern.

In einem schwerwiegenden Fall von Netzwerkspionage haben Sicherheitsexperten von Cisco Talos das Framework „DKnife“ aufgedeckt. Diese hochkomplexe Schadsoftware verwandelt Router und Netzwerk-Gateways in perfekte Überwachungs- und Angriffsplattformen. Ihr gefährlichstes Merkmal: Sie kann legitime Android-App-Updates abfangen und durch Backdoors wie ShadowPad ersetzen. Die Kampagne wird mit hoher Sicherheit chinesischen Angreifern zugeschrieben und ist seit mindestens 2019 aktiv.

DKnife ist kein einfacher Virus, sondern ein modulares Framework aus sieben Linux-Implantaten. Einmal auf einem Router installiert, agiert es völlig unsichtbar für herkömmliche Antivirenprogramme. Diese suchen nämlich auf Endgeräten wie Laptops, nicht in der Netzwerkinfrastruktur.

Von seinem privilegierten Sitzplatz aus kann DKnife den gesamten Datenverkehr inspizieren und manipulieren. Die Forscher stießen darauf, als sie dem Backdoor „DarkNimbus“ nachjagten. Die Analyse ergab: DKnife wurde über Jahre entwickelt und seine Kommando-Server waren noch im Januar 2026 aktiv.

SOHO‑Router sind oft das schwächste Glied – und genau das nutzt die hier beschriebene DKnife‑Kampagne aus. Studien zeigen, dass viele kleine Büros und Heimnetzwerke kritische Umleitungen und manipulierte App‑Updates übersehen. Dieses kostenlose E‑Book erklärt die aktuellen Cyber‑Threats, praktische Schutzmaßnahmen für Netzwerkadministratoren sowie einfache Tests, mit denen Sie verdächtige DNS‑Umleitungen entdecken und stoppen. Ideal für IT‑Verantwortliche und Heimnutzer, die ihr Netzwerk sofort härten wollen. Jetzt kostenlosen Cyber‑Security‑Report sichern

Der perfide Trick mit den App-Updates

Die größte Gefahr liegt in der Manipulation von Software-Updates. DKnife nutzt eine konfigurierbare DNS-Abfangtechnik. Versucht ein Nutzer im kompromittierten Netzwerk, eine Android-App zu aktualisieren, leitet der Router die Anfrage um.

Statt zum offiziellen Google Play Store geht die Verbindung zu einem Server der Angreifer. Dieser liefert dann eine präparierte Version der App aus – versehen mit einer versteckten Hintertür. Für das Handy sieht alles nach einer legitimen Verbindung aus. Die Angreifer setzen dabei auf bekannte Backdoors wie ShadowPad oder DarkNimbus, die seit Jahren im Werkzeugkasten chinesischer Spionagegruppen zu finden sind.

Klare Spuren führen nach China

Die Zuordnung zu China-nexus-Akteuren ist für die Talos-Forscher eindeutig. Das Framework ist gezielt auf chinesischsprachige Nutzer ausgelegt. Es stiehlt Zugangsdaten für lokale Dienste und Daten aus populären chinesischen Apps. Auch Code-Verweise und sprachliche Merkmale in den Konfigurationsdateien deuten stark auf diesen Ursprung hin.

Die Infrastruktur von DKnife überschneidet sich zudem mit anderen bekannten Bedrohungen wie „WizardNet“ und dem AitM-Framework „Spellbinder“. Diese Verbindungen legen eine gemeinsame Entwicklung oder enge Zusammenarbeit der hinter den Kampagnen stehenden Gruppen nahe.

Ein Alarmsignal für die Netzwerksicherheit

Die Entdeckung zeigt ein fundamentales Problem auf: SOHO-Router (Small Office/Home Office) sind das schwächste Glied. Sie werden selten gepatcht und kaum überwacht – ein ideales Einfallstor für Angreifer.

Die siebenjährige, unentdeckte Aktivität von DKnife offenbart eine blinde Stelle in der Cybersicherheit. Während Unternehmen in Endpoint- und Cloud-Security investieren, bleibt die Netzwerkinfrastruktur dazwischen verwundbar. Für Firmen bedeutet das: Ein Mitarbeiter im Homeoffice könnte durch ein simples App-Update Malware ins Unternehmensnetzwerk einschleusen.

Wie kann man sich schützen?

Cisco Talos rät Netzwerkadministratoren, den Datenverkehr auf ungewöhnliche Umleitungen, insbesondere über Port 81, zu überprüfen. Für Privatanwender und kleine Büros gibt es zwei entscheidende Maßnahmen:

1. Router-Firmware aktuell halten: Installieren Sie regelmäßig Sicherheitsupdates vom Hersteller.
2. Alte Hardware ersetzen: Router, die keine Patches mehr erhalten, sind ein unkalkulables Risiko.

Die Enthüllung von DKnife ist eine wichtige Warnung. In einer Welt, die zunehmend auf Edge Computing setzt, rücken Router und Gateways immer stärker ins Fadenkreuz von Angreifern. Das Vertrauen in das Netzwerk selbst darf kein Automatismus mehr sein.

PS: Für Unternehmen und Heimnutzer, die Manipulationen bei Updates und DNS‑Umleitungen verhindern wollen, gibt es ein kostenloses E‑Book mit konkreten Schutzmaßnahmen für SOHO‑Router. Der Leitfaden zeigt praxisnahe Kontrollen, Checklisten für Admins und einfache Schritte, um Homeoffice‑Netzwerke abzusichern – inklusive Hinweisen zu aktuellen Gesetzen und Compliance‑Aspekten. Gratis E‑Book zu Cyber Security Awareness herunterladen