สรุปสั้น

กลุ่มแฮ็กเกอร์ที่ถูกติดตามในชื่อ GreyVibe ซึ่งคาดว่าเชื่อมโยงกับรัสเซีย ถูกเปิดโปงว่าใช้ AI หลายตัวเสริมพลังการโจมตีไซเบอร์ บริษัทความปลอดภัย WithSecure พบกิจกรรมนี้เมื่อมกราคม 2569 และระบุว่าปฏิบัติการเริ่มมาตั้งแต่อย่างน้อยสิงหาคม 2568 เป้าหมายหลักคือองค์กรในยูเครนหรือที่เกี่ยวข้องกับยูเครน ครอบคลุมภาคทหาร รัฐบาล พลเรือน และธุรกิจ GreyVibe ใช้ ChatGPT, Google Gemini และ Ideogram AI สร้างเนื้อหาเหยื่อล่อที่สมจริง และยังใช้ AI ช่วยพัฒนาเครื่องมือมัลแวร์ มีการใช้หลายห่วงโซ่การโจมตี ทั้งสเปียร์ฟิชชิง หน้า CAPTCHA ปลอมแบบ ClickFix เว็บปลอม และสปายแวร์ Android นักวิจัยชี้ว่าแม้กิจกรรมจะคล้ายปฏิบัติการระดับรัฐ แต่ขาดความแนบเนียน คาดว่ามีอดีตหรืออาชญากรไซเบอร์ปัจจุบันร่วมทีม

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 28 พฤษภาคม 2569 ว่า กลุ่มภัยคุกคามที่คาดว่าเป็นรัสเซียในชื่อ GreyVibe ได้ใช้เหยื่อล่อที่สร้างด้วย AI ร่วมกับชุดเครื่องมือมัลแวร์ที่พัฒนาขึ้นเองจำนวนมาก เพื่อโจมตีหน่วยงานในภาคทหาร รัฐบาล พลเรือน และธุรกิจ ปฏิบัติการจารกรรมไซเบอร์นี้ดำเนินมาตั้งแต่อย่างน้อยเดือนสิงหาคม 2568 และดูจะสอดคล้องกับผลประโยชน์ของรัฐรัสเซีย แม้นักวิจัยจะยังไม่สามารถยืนยันได้เต็มปากว่าเป็นปฏิบัติการระดับรัฐชาติ บริษัท WithSecure ค้นพบกิจกรรมนี้เมื่อเดือนมกราคม 2569 และพบว่าเป้าหมายโฟกัสไปที่องค์กรยูเครนหรือที่เกี่ยวข้องกับยูเครน หลักฐานที่โยงไปยังผู้ก่อการที่พูดภาษารัสเซีย ได้แก่ ภาษาที่ใช้ในแผงควบคุมมัลแวร์ คอมเมนต์ในโค้ด และเซิร์ฟเวอร์ command-and-control (C2) ที่ตั้งเวลาเป็น UTC+3 ซึ่งตรงกับเวลามอสโก ความหลากหลายและคุณภาพของเหยื่อล่อเป็นจุดที่น่าจับตา WithSecure ระบุว่าเป็นผลจากการใช้ AI หลายตัว ทั้ง ChatGPT, Ideogram AI และ Google Gemini เพื่อสร้างเนื้อหารายละเอียดสูงและสมจริง อย่างไรก็ตาม นักวิจัยตั้งข้อสังเกตว่า GreyVibe “ขาดระดับความซับซ้อนและวินัยปฏิบัติการที่มักพบในผู้ก่อการระดับรัฐชาติที่โตเต็มวัย”

วิธีการโจมตี

GreyVibe ใช้หลายห่วงโซ่การโจมตีคู่ขนานกัน โดยแต่ละแคมเปญมีธีมเหยื่อล่อต่างกัน PhantomMail — อีเมลสเปียร์ฟิชชิงส่งไฟล์บีบอัด ZIP/RAR ประสงค์ร้ายผ่านลิงก์ Google Drive และ 4sync ใช้ PDF ล่อหรือข้อความ error ปลอม โดยปลอมเป็นหน่วยงานรัฐบาล หน่วยฉุกเฉิน โทรคมนาคม และพลังงานของยูเครน PhantomClick — หน้า CAPTCHA/ClickFix ปลอมที่ทำเลียนแบบเว็บ Zoom และ LAPAS หลอกเหยื่อให้รันคำสั่งที่ทำให้ตัวเองติดมัลแวร์ ผ่านหน้ายืนยัน Cloudflare ปลอม PrincessClub — เว็บหาคู่/ผู้ใหญ่ปลอมของยูเครน ส่งสปายแวร์ Android ชื่อ FallSpy และมัลแวร์ Windows อย่าง PhantomRelay/LegionRelay ใช้ตัวตนปลอมเป็นผู้หญิงบน Telegram และเพิ่มการโทรสดผ่าน WebRTC เพื่อแอบบันทึกเสียง/วิดีโอเหยื่อ DroneLink — เว็บการกุศลทหารยูเครนปลอมธีมโดรน FPV และ UAV ใช้โครงสร้างพื้นฐานและเครื่องมือร่วมกับ PrincessClub Nebo — หน้าล็อกอินปลอมของระบบสื่อสารทหารรัสเซีย “СПО НЕБО” ออกแบบมาหลอกทหารยูเครนให้เชื่อว่ากำลังเข้าถึงเทอร์มินัลทหารรัสเซีย การใช้ AI ยังขยายไปถึงการสร้างเครื่องมือ โดยมี obfuscator พัฒนาเอง LOOKVALPS, LOOKVALJS, DAYLIGHT และ TEASOUP รวมถึง RAT แบบ PowerShell ชื่อ LegionRelay (ขโมยไฟล์ จับภาพหน้าจอ ขโมย credential เบราว์เซอร์ ดูดข้อมูล Telegram/WhatsApp และตั้ง RDP) และ PhantomRelay ที่คาดว่าพัฒนาโดยมี AI ช่วย

GreyVibe AI-generated lures LLM markers
GreyVibe malware and campaign associations overview

ผลกระทบต่อไทย

แม้ GreyVibe จะพุ่งเป้ายูเครนเป็นหลัก แต่เทคนิคของกลุ่มนี้คือบทเรียนสำคัญสำหรับองค์กรไทย เพราะแสดงให้เห็นว่าการใช้ AI สร้างเหยื่อล่อทำให้ฟิชชิงและหน้าเว็บปลอมแนบเนียนขึ้นมาก จนวิธีสังเกต “ภาษาแปลกๆ หรือภาพหยาบ” แบบเดิมใช้ไม่ได้อีกต่อไป เทคนิค ClickFix/CAPTCHA ปลอมที่หลอกให้เหยื่อรันคำสั่งด้วยตัวเอง กำลังเป็นภัยที่แพร่หลายทั่วโลกรวมถึงไทย และไม่ผูกกับเป้าหมายยูเครน องค์กรไทยจึงเสี่ยงเจอเทคนิคเดียวกันนี้ การที่กลุ่มนี้น่าจะมีอดีตอาชญากรไซเบอร์ร่วมทีม และเคยใช้ PhantomRelay ในกิจกรรมอาชญากรรมไซเบอร์ทั่วไป หมายความว่าเครื่องมือเหล่านี้อาจหลุดไปสู่การโจมตีเชิงพาณิชย์ที่กระทบไทยได้ องค์กรไทยควรถือว่า “AI ช่วยให้ผู้โจมตีระดับกลางทำงานได้เนียนเท่ามืออาชีพ” และยกระดับการฝึกอบรมพนักงานให้เท่าทัน

คำแนะนำ

ฝึกอบรมพนักงานให้ระวังหน้า CAPTCHA/ClickFix ปลอมที่สั่งให้ “คัดลอกคำสั่งไปวางใน Run หรือ PowerShell” — ห้ามทำเด็ดขาด อย่าไว้ใจเพียงเพราะเนื้อหาดูสมจริง เพราะ AI ทำให้เหยื่อล่อภาษาถูกต้องและภาพสวยขึ้น ระวังไฟล์ ZIP/RAR ที่ส่งผ่านลิงก์ Google Drive หรือบริการแชร์ไฟล์ภายนอก แม้อ้างว่ามาจากหน่วยงานน่าเชื่อถือ ติดตั้ง EDR และเฝ้าระวังพฤติกรรม PowerShell ผิดปกติ การโหลดสคริปต์แบบไดนามิก และการตั้งค่า RDP ที่ไม่ได้รับอนุญาต สำหรับอุปกรณ์ Android ติดตั้งแอปจาก official store เท่านั้น และระวังเว็บหาคู่/บริจาคที่ขอให้ติดตั้งแอปนอกสโตร์ นำ IoCs ที่ WithSecure เผยแพร่มาตั้งกฎตรวจจับในระบบ

แหล่งอ้างอิง