สรุปสั้น

กลุ่ม APT ที่เชื่อมโยงกับจีนถูกพบดำเนินปฏิบัติการจารกรรมสองชั้นในเอเชียตะวันออกเฉียงใต้ ชั้นแรกฝัง Linux implant (router.elf) ในเราเตอร์ขอบเครือข่ายเพื่อเฝ้าติดตามและจัดการ traffic ทั้งหมด ชั้นที่สองฝัง Cobalt Strike Beacon ผ่าน DLL sideloading บน Windows endpoint ภายในเครือข่ายเดียวกัน ทั้งสองชั้นใช้ C2 infrastructure เดียวกัน ยืนยันว่าเป็นผู้กระทำรายเดียว นักวิจัย Qiita รายงานว่าตัวชี้ชัดหลายอย่างในโค้ดชี้ไปที่จีน ได้แก่ ภาษา Mandarin ในโค้ด ค่า zh-CN hardcoded และ tool license ID ที่ปรากฏในปฏิบัติการที่เชื่อมโยงกับจีนมาต่อเนื่อง เมื่อ router ถูกควบคุมได้ ผู้โจมตีสามารถบิดเบือน DNS response ต่อทุก device ในเครือข่ายนั้น เปิดโอกาส man-in-the-middle ระดับ infrastructure

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 26 พฤษภาคม 2569 อ้างรายงานของ Qiita ว่าพบกลุ่ม APT ที่เชื่อมโยงกับจีนโจมตีเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ด้วย Linux implant ที่สร้างขึ้นเองชื่อ router.elf ผู้โจมตีติดตั้ง router.elf โดยตรงบน border router แล้วสร้างการเชื่อมต่อกลับไปยัง C2 server ผ่าน HTTPS บน port 443 เพื่อให้ traffic ดูปกติ ระบบยังใช้ DNS over HTTPS ผ่าน Cloudflare เพื่อซ่อน domain lookup ไว้ใน HTTPS traffic ทำให้เครื่องมือ DNS monitoring มาตรฐานมองไม่เห็น นอกจากนี้ implant ยังแก้ไข iptables บนเราเตอร์โดยตรงเพื่อเปลี่ยนทิศทาง DNS query ทั้งหมดจากทุก device หลัง router ไปยังเซิร์ฟเวอร์ของผู้โจมตี ทำให้สามารถ manipulate ว่าเหยื่อจะเข้าถึงเว็บไซต์ใด ดักจับ software update และกำหนดเป้าหมายเฉพาะเจาะจงผ่าน dynamic list ที่เรียกว่า evil_fix

รายละเอียด Implant และ Windows Attack Chain

router.elf เป็น Linux ELF binary ที่สร้าง persistent connection กลับ C2 ผ่าน encrypted HTTPS บน port 443 รองรับคำสั่งระยะไกล ยังมี secondary backdoor ชื่อ client_rc_start ติดตั้งไว้คู่กันเพื่อให้ผู้โจมตียังคงเข้าถึงได้แม้ payload หลักจะถูกลบออก ฝั่ง Windows ผู้โจมตีใช้เทคนิค DLL sideloading โดยวาง version.dll ที่เป็นอันตรายไว้ในโฟลเดอร์ของ CrashReport.exe เมื่อ process ที่ถูกต้องทำงานก็จะโหลด Cobalt Strike Beacon ขึ้นมาโดยไม่รู้ตัว Beacon เชื่อมกลับ C2 เดียวกันกับ router implant โดยใช้ URI pattern /api/v1/get และ /api/v1/post ร่วมกัน พร้อม cookie marker *UK=* และ *ZF=* และ sleep timing 50 วินาทีที่ตรงกัน ความสอดคล้องนี้ยืนยันว่าทั้งสองชั้นเป็นปฏิบัติการจารกรรมเดียวที่ถูกควบคุมโดยผู้กระทำรายเดียวกัน

ผลกระทบต่อไทย

ไทยเป็นส่วนหนึ่งของเอเชียตะวันออกเฉียงใต้ซึ่งเป็นเป้าหมายโดยตรงของแคมเปญนี้ เราเตอร์ที่ใช้ในองค์กร ISP และหน่วยงานรัฐในไทยที่ใช้ Linux-based firmware อาจตกเป็นเป้าหมาย ที่น่ากังวลเป็นพิเศษคือเมื่อเราเตอร์ถูกควบคุมได้ ผู้โจมตีสามารถ intercept traffic ของทุก device ในเครือข่ายนั้น รวมถึง computer, smartphone, IoT และอุปกรณ์ OT ทำให้ไม่มี endpoint protection ใดสามารถป้องกันได้หากไม่ตรวจพบที่ router ก่อน

คำแนะนำ

  • ตรวจสอบ edge router ทันที สำหรับ firewall rule ที่ไม่ได้ตั้งเอง โดยเฉพาะ rule ที่ redirect DNS traffic ไปยัง IP ที่ไม่รู้จัก
  • สแกนหา router.elf และ client_rc_start บนอุปกรณ์ Linux-based router และ firewall
  • ตรวจสอบ Windows machine สำหรับ version.dll ที่ผิดปกติและ CrashReport.exe ที่รันจาก AllUsers profile folder
  • บล็อก IoC ต่อไปนี้ในระบบทันที: domains contextlayerrun.com, specialclouds.com/top, namefilecode.com, valuecode.top และ IP 8.211.130.16, 8.213.217.130, 47.81.37.109, 23.254.129.112
  • เปิดใช้ firmware integrity monitoring และจำกัดการเข้าถึง management interface ของ router ด้วย MFA
  • ตั้ง alert สำหรับการเปลี่ยนแปลง iptables หรือ DNS configuration บนอุปกรณ์ network

แหล่งอ้างอิง