¿Tienes acceso físico al router? ¿Tiene wifi? ¿Has aislado el router para cambiar la configuración desde un ordenador que no esté infectado cambiando la configuración desde cable? Si el atacante utiliza la wifi tendras que cambiar contraseñas y nivel de seguridad. ¿Tienes el wps activado? Si el atacante esta conectado a cable tendras que intentar tirar de el, echar un vistazo a la terminal de trunk de los diferentes switches y ver de donde vienen los mensajes de arp que estan cambiando las tablas de arp.
Lo de que el atacante cambia su mac por la del router es raro, porque si haces un ataque a las tablas de arp no usas la MAC del router, simplemente haces pensar a la gente que la MAC de la IP del router es otra. De hecho tener dos MACs iguales en la red causa bastantes problemas. :\
¿Has probado a usar tu ordenador desde un sistema limpio? Me refiero, ¿Por que no usas un live usb y ves que narices pasa por la red?
¿Has pensado que igual las IPs falsas puedan estar usandose para redirigirte cuando haces peticiones a sistemas web? Mayormente, que sea lo que utiliza para infectarte, porque en vez de concetarte a gmail (por ejemplo) estés conectandote a su máquina y te quita las contraseñas y te modifica los ficheros que puedas bajar.

Si tienes un router y en el cable solo estas tu, o bien el problema es tu equipo o bien el problema es el router. Me refiero a que, si físicamente dentro de tu LAN solo hay dos equipos uno de esos dos equipos es quien te hace el ataque. O bien es tu propio ordenador, o ordenadores o bien es el router de salida.
Hay un dato que mosquea un poco, porqeu dices que

En el momento que yo hago cualquier tipo de ataque es cuando sale la Mac falsa de estos individuos y su ip es la misma puerta de enlace que el route

¿Eso quiere decir que el lanzar tu ataques desencadena eso? ¿Osea mirando la tabla arp antes de lanzar evil foca no hace que veas eso? Y no puede ser ese el problema, que el "bicho" lo tengas en tu evil foca (o tus programas de pentesting). De nuevo comento, igual tendrías que ir aislando el problema. Iniciar el ordenador desde un sistema operativo que puedas estar seguro de que no este "modificado" y empezar a mirar si el problema es del router o del sistema que estas usando. Y empezar a limpiar todos los puntos que vayas viendo. Probar con otro router físico y el sistema limpio en tu ordenador (live cd por ejemplo). E ir poco a poco identificando los puntos que tienes "rotos" para limpiparlos.
Si las MAC falsas te aparecen en varios sitios diferentes en los que te conectas (diferentes APs) con el mismo ordenador, creo que está bastante claro que por lo menos tienes un problema en tu equipo. No quiere decir que no tengas además un problema en tu router. Normalmente cuando alguien que sabe un poco entra en el ordenador suele tendre a pivotar y calzarse todo lo que vea conectado incluido el router.