DKnife: Chinesische Spionage-Software kapert Router

Eine neue Cyber-Spionage-Plattform verwandelt heimische Router in perfekte Überwachungswerkzeuge. Cisco Talos hat diese Woche den Fund des Frameworks „DKnife“ veröffentlicht. Es wird seit 2019 von mutmaßlich chinesischen Angreifern genutzt, um Daten abzugreifen und Schadsoftware zu verbreiten.

Die lautlose Gefahr in der Netzwerk-Basis

Die Entdeckung unterstreicht einen gefährlichen Trend: Immer häufiger rücken Router und andere Netzwerk-Komponenten ins Visier staatlicher Hacker. Im Gegensatz zu herkömmlicher Malware infiziert DKnife nicht den Computer oder das Smartphone, sondern das Gateway-Gerät selbst – also den Router, der das heimische oder Büronetz mit dem Internet verbindet. Von dieser zentralen Position aus agiert es als unsichtbarer „Mann in der Mitte“ und kann den gesamten Datenverkehr überwachen und manipulieren.

Die Forscher von Cisco Talos identifizierten DKnife als modulares Framework aus sieben Linux-Komponenten. Da die Schadsoftware auf Router-Ebene operiert, ist sie für herkömmliche Antiviren-Programme auf Endgeräten praktisch unerkennbar.

So funktioniert die Spionage-Software

Das Herzstück ist die Komponente dknife.bin. Sie filtert den Netzwerkverkehr in Echtzeit nach interessanten Daten. Unterstützt wird sie von spezialisierten Tools: yitiji.bin (chinesisch für „All-in-One-Maschine“) baut eine virtuelle Netzwerkschnittstelle auf. sslmm.bin dient als Reverse-Proxy und mmdown.bin lädt weitere Schadpayloads nach.

Passend zum Thema Router‑Bedrohungen: Viele Android‑Nutzer sind anfällig, wenn Updates über ein kompromittiertes Gateway laufen. Unser Gratis‑Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Android — von Update‑Prüfung über App‑Berechtigungen bis zu verschlüsselter Kommunikation. Praxistaugliche Schritt‑für‑Schritt‑Anleitungen zeigen, wie Sie manipulierte Updates und eingeschleuste Backdoors erkennen und blockieren. Gratis‑Android‑Sicherheits‑Ratgeber anfordern

Diese Architektur erlaubt es den Angreifern, das Framework fernzusteuern und für spezifische Ziele anzupassen. Die zugehörigen Command-and-Control-Server waren noch im Januar 2026 aktiv – ein Zeichen für eine andauernde, professionell geführte Kampagne.

Gefährliche Tricks: Update-Hijacking und Datendiebstahl

Besonders alarmierend ist eine Fähigkeit von DKnife: Es kann legitime Software-Updates abfangen und manipulieren. Versucht ein Android-Gerät oder Windows-PC, ein Update herunterzuladen, tauscht das Framework die Datei gegen eine infizierte Version aus.

Bei Android werden so Backdoors wie „DarkNimbus“ oder „ShadowPad“ eingeschleust – bekannte Werkzeuge chinesischer Cyberspione. Auf Windows-Systemen werden kompromittierte Executables nachgeladen, die dauerhaften Zugriff ermöglichen.

Zudem ist DKnife darauf spezialisiert, Login-Daten abzugreifen. Die Logik zielt gezielt auf chinesischsprachige Dienste wie E-Mail-Anbieter und den Messenger WeChat. Durch das Auslesen unverschlüsselten Verkehrs oder SSL-Stripping-Angriffe erbeutet die Malware sensible Nutzerdaten direkt am Router.

Klare Spuren führen nach China

Die Zuordnung zu chinesischen Akteuren stützt sich auf mehrere technische Indizien. Im Code und in Konfigurationsdateien fanden die Analysten Zeichenketten in vereinfachtem Chinesisch. Die gezielte Fokussierung auf chinesischsprachige Nutzer und Dienste passt zudem zu den bekannten Operationszielen chinesischer APT-Gruppen.

Die Infrastruktur von DKnife überschneidet sich zudem mit Kampagnen, die die Backdoor „WizardNet“ verbreiten. Diese wurde bereits mit einem anderen Framework namens „Spellbinder“ in Verbindung gebracht. Die Verbindungen deuten auf eine gemeinsame Entwicklungslinie oder operative Zusammenarbeit verschiedener staatlich unterstützter Gruppen hin.

Angriff auf die Schwachstelle Router

Die Enthüllung legt ein fundamentales Sicherheitsproblem offen: SOHO-Router für Heim und Kleinbüro. Diese laufen zwar oft auf Linux-Basis, haben aber selten die robusten Sicherheitsvorkehrungen von Enterprise-Geräten. Ist ein Router erst einmal kompromittiert, bietet er einen dauerhaften Zugang, der schwer zu entfernen ist. Ein Werksreset reicht oft nicht, wenn die Firmware selbst manipuliert wurde oder das Gerät aufgrund ungepatchter Schwachstellen sofort neu infiziert wird.

Experten sehen hier eine strategische Verschiebung hin zur „Infrastruktur-Level“-Spionage. Wer die Datenleitung selbst kompromittiert, umgeht alle Endpunkt-Sicherheitsmaßnahmen. Diese Methode ist für Überwachung besonders effektiv, da sie passive Datensammlung und die gezielte Infektion hochwertiger Ziele ermöglicht.

Was jetzt zu tun ist

Die C2-Server von DKnife sind Anfang Februar 2026 noch online. Die Betreiber haben ihre Infrastruktur trotz der Veröffentlichung nicht aufgegeben. Netzwerkadministratoren und private Nutzer sollten daher dringend die Firmware ihrer Router aktualisieren. Veraltete Geräte, die keine Sicherheitsupdates mehr erhalten, gehören ausgetauscht.

Die Cybersicherheits-Community erwartet nun verstärkte Scans nach den von Cisco Talos veröffentlichten Indikatoren für Kompromittierung (IoCs). Die heimliche Natur von Router-Malware macht es jedoch schwer, das globale Ausmaß der Infektionen zu bestimmen. Die Entdeckung dürfte den Fokus auf Router-Sicherheitsstandards neu entfachen und die Einführung von „Zero-Trust“-Architekturen beschleunigen, die dem lokalen Gateway nicht blind vertrauen.

PS: Bevor Sie jetzt Ihre Router‑Firmware prüfen — schützen Sie auch Ihr Smartphone. Der kostenlose Ratgeber zeigt kompakt die 5 Schutzmaßnahmen, die WhatsApp, Banking und WeChat vor Datenklau durch Router‑Malware schützen, inklusive Checkliste zur Update‑Prüfung und einfachen Einstellungen, die Sie sofort umsetzen können — oft ohne zusätzliche Apps. Jetzt kostenlosen Android‑Schutzratgeber downloaden