Esta é uma ideia meio louca e envolveria algum tempo de inatividade da rede, mas parece que suas opções são limitadas pelo seu gateway barato, sem nenhuma maneira de ver o que está sendo NAT.
Altere o endereço IP do seu gateway para outra coisa e, em seguida, desative o DHCP para impedir que as máquinas encontrem novo endereço de gateway. Inicialize uma máquina executando ethereal / wireshark assumindo o endereço IP antigo do seu gateway.
A máquina ofensora deve aparecer como luzes de natal, agora que a máquina que está fazendo o pacote farejando IS o gateway!