DKnife Si Pembajak Lalu Lintas Jaringan

DKnife Si Pembajak Lalu Lintas Jaringan – Dunia keamanan siber internasional kembali dihebohkan dengan penemuan sebuah toolkit berbahaya bernama DKnife.

Sejak tahun 2019, perangkat ini telah digunakan secara diam-diam untuk membajak lalu lintas data langsung dari perangkat edge (perangkat perbatasan jaringan seperti router dan gateway) dalam operasi spionase siber yang sangat terorganisir.

Para peneliti keamanan mengungkapkan bahwa DKnife merupakan kerangka kerja pasca-kompromi (post-compromise framework) yang dirancang khusus untuk memantau lalu lintas data dan melakukan aktivitas Adversary-in-the-Middle (AitM).

Berbeda dengan malware biasa yang menyerang komputer ujung (endpoint), DKnife duduk di pintu gerbang jaringan, memungkinkannya untuk mencegat dan memanipulasi data sebelum mencapai perangkat tujuan seperti komputer, ponsel, atau perangkat IoT.

Anatomi DKnife

DKnife dibangun sebagai kerangka kerja ELF (Executable and Linkable Format) yang berjalan di sistem operasi Linux.

Kekuatan utamanya terletak pada tujuh komponen modular yang bekerja secara sinergis untuk melakukan inspeksi paket mendalam (Deep Packet Inspection/DPI), manipulasi lalu lintas, pemanenan kredensial, hingga pengiriman malware lanjutan.

Berikut adalah rincian tujuh komponen utama DKnife:

dknife.bin: Otak dari serangan yang bertanggung jawab atas inspeksi paket, logika serangan, dan pelaporan aktivitas pengguna ke server pusat.
postapi.bin: Komponen relai yang menjembatani komunikasi antara modul utama dengan server Command-and-Control (C2).
sslmm.bin: Server reverse proxy kustom yang merupakan modifikasi dari perangkat lunak HAProxy yang sah.
yitiji.bin: Komponen krusial yang membuat antarmuka Ethernet virtual (TAP) pada router untuk menjembatani lalu lintas penyerang ke dalam jaringan lokal (LAN).
remote.bin: Klien VPN peer-to-peer untuk menciptakan jalur komunikasi aman bagi penyerang.
mmdown.bin: Modul khusus untuk mengunduh dan memperbarui file APK berbahaya pada perangkat Android.
dkupdate.bin: Komponen yang bertugas untuk memperbarui seluruh kerangka kerja DKnife secara otomatis.

Pembajakan DNS dan Pembaruan Aplikasi

Setelah DKnife berhasil menguasai sebuah router atau gateway, ia akan menggunakan komponen yitiji.bin untuk menciptakan perangkat jaringan virtual di alamat IP internal khusus (misalnya 10.3.3.3). Dari posisi strategis ini, penyerang dapat menulis ulang paket jaringan yang sedang transit.

Salah satu kemampuan paling berbahaya dari DKnife adalah kemampuannya membajak pembaruan aplikasi Android dan unduhan biner Windows. Ketika pengguna mencoba memperbarui aplikasi resmi,

DKnife akan mencegat permintaan tersebut dan mengirimkan file berbahaya (seperti backdoor ShadowPad atau DarkNimbus) alih-alih file pembaruan yang asli.

Di perangkat Android, pengiriman backdoor ini dilakukan secara langsung dan transparan bagi pengguna.

DKnife Si Pembajak Lalu Lintas Jaringan - Dunia keamanan siber internasional kembali dihebohkan dengan penemuan sebuah toolkit berbahaya bernama DKnife. — Image credit: Freepix

Fokus Spionase

Berdasarkan temuan peneliti, DKnife memiliki artefak bahasa Mandarin dalam komentar kode dan nama komponennya. Perangkat ini secara eksplisit menargetkan layanan asal Tiongkok, terutama WeChat.

DKnife mampu memantau panggilan suara dan video, pesan teks, gambar yang dikirim dan diterima, hingga artikel yang dibaca pengguna di platform tersebut.

Selain itu, aplikasi lain seperti Signal, aplikasi peta, konsumsi berita, layanan transportasi online, hingga aktivitas belanja juga berada di bawah pengawasan ketat secara real-time.

Relevansi bagi Keamanan Siber di Indonesia

Munculnya DKnife memberikan peringatan serius bagi lanskap keamanan digital di Indonesia, mengingat beberapa faktor berikut:

Penggunaan Perangkat Edge yang Rentan: Banyak instansi pemerintah dan perusahaan di Indonesia menggunakan router atau gateway yang jarang diperbarui perangkat lunaknya (firmware). DKnife membuktikan bahwa pengamanan komputer ujung saja tidak cukup jika gerbang utamanya sudah dikuasai.
Dominasi Perangkat Android: Indonesia adalah salah satu pasar pengguna Android terbesar di dunia. Mekanisme DKnife yang mampu membajak pembaruan aplikasi Android menjadi ancaman langsung bagi jutaan pengguna yang terbiasa melakukan pembaruan melalui jaringan Wi-Fi publik atau kantor.
Risiko pada Sektor Finansial dan E-commerce: Mengingat DKnife mampu memantau aktivitas belanja dan transportasi online, data transaksi sensitif milik pengguna di Indonesia bisa dengan mudah dipanen tanpa mereka sadari.
Pemanenan Kredensial via Protokol Lawas: DKnife mampu melakukan dekripsi pada protokol POP3 dan IMAP. Di Indonesia, masih banyak bisnis kecil menengah yang menggunakan protokol email lama tanpa enkripsi yang kuat, sehingga sangat rentan terhadap pencurian nama pengguna dan kata sandi.

Langkah Mitigasi dan Pencegahan

Hingga Januari 2026, server C2 milik DKnife dilaporkan masih aktif. Para ahli menyarankan langkah-langkah berikut untuk melindungi jaringan:

Audit dan Perbarui Perangkat Jaringan: Pastikan router dan firewall selalu menjalankan versi firmware terbaru untuk menutup celah yang mungkin digunakan DKnife untuk masuk.
Gunakan DNS Terenkripsi: Mengaktifkan DNS over HTTPS (DoH) atau DNS over TLS (DoT) dapat membantu mencegah pembajakan DNS yang dilakukan oleh DKnife.
Monitor Antarmuka Virtual: Administrator jaringan harus secara rutin memeriksa adanya antarmuka jaringan atau perangkat TAP/TUN yang tidak dikenal (seperti alamat IP 10.3.3.3 yang sering digunakan DKnife).
Enkripsi End-to-End: Pastikan semua komunikasi sensitif menggunakan enkripsi yang kuat untuk meminimalisir dampak dari inspeksi paket mendalam (DPI).

DKnife adalah pengingat bahwa titik terlemah dalam keamanan sering kali berada pada infrastruktur perantara yang kita anggap tepercaya.

Dengan kemampuannya yang modular dan fokus pada manipulasi lalu lintas data secara real-time, DKnife merupakan salah satu alat spionase paling canggih yang aktif saat ini.

Kewaspadaan pada tingkat gerbang jaringan kini menjadi sama pentingnya dengan perlindungan pada tingkat pengguna akhir.

Baca lainnya: