สรุปสั้น
Kimsuky กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ (หรือชื่อ Velvet Chollima) ถูกระบุว่าอยู่เบื้องหลังการโจมตีชุดใหม่ เป้าหมายคือหน่วยงานทหารและองค์กรของเกาหลีใต้ในช่วงเดือนมีนาคมถึงเมษายน 2569 ผู้โจมตีใช้วิศวกรรมสังคมแบบเจาะจง ทั้งปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัย และสร้างหน้า Webex meeting ปลอมที่อ้างอิงตารางประชุมจริง มัลแวร์ที่ส่งคือ HTTPSpy ซึ่งเป็น remote access trojan เต็มรูปแบบ ปลอมเป็นตัวติดตั้งซอฟต์แวร์ความปลอดภัยเกาหลีใต้ Kimsuky ยังเพิ่มเทคนิคใหม่ JSONPing เพื่อยืนยันการติดมัลแวร์แบบเรียลไทม์ และใช้ตารางประชุมที่ขโมยมาทำหน้าปลอม ขณะเดียวกัน Kaspersky พบการใช้ VS Code tunnel, Cloudflare Quick Tunnels, DWAgent และ LLM ช่วยพัฒนามัลแวร์ใหม่อย่าง HelloDoor และ HttpMalice
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 29 พฤษภาคม 2569 ว่า กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือในชื่อ Kimsuky ถูกเชื่อมโยงกับการโจมตีไซเบอร์ชุดใหม่ที่พุ่งเป้าหน่วยงานทหารและองค์กรของเกาหลีใต้ในช่วงเดือนมีนาคมถึงเมษายน 2569 บริษัทความปลอดภัย ENKI ระบุในรายงานที่เผยแพร่สัปดาห์นี้ว่า Kimsuky ใช้วิธีวิศวกรรมสังคมที่ปรับแต่งเฉพาะเป้าหมาย เช่น การปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัย และสร้างหน้า Webex meeting ปลอมที่อาศัยตารางประชุมจริง ในแคมเปญเดือนมีนาคม 2569 ผู้โจมตีกระจายเพย์โหลดผ่านหน้าเว็บปลอมที่เลียนแบบหน้าติดตั้งซอฟต์แวร์ความปลอดภัยของบริการ B2B messaging เกาหลีใต้ คาดว่าออกแบบมาเจาะกลุ่มผู้ดูแลระบบ messaging ในองค์กรโดยเฉพาะ หน้าปลอมอ้างว่ามีเครื่องมือสองตัวคือ firewall และโปรแกรมความปลอดภัยคีย์บอร์ด เมื่อเหยื่อดาวน์โหลด จะได้ไฟล์ “nos-setup.exe” หรือ “astx-setup.exe” ที่ปลอมเป็น nProtect Online Security และ AhnLab Safe Transaction (ASTx) ในแคมเปญเดือนเมษายน 2569 มีการใช้หน้าเว็บปลอมเลียนแบบ Cisco Webex แสดง pop-up ให้เหยื่อดาวน์โหลดและรันสคริปต์เพื่อ “แก้ปัญหากล้องเข้าไม่ได้” ซึ่งนำไปสู่การติดมัลแวร์ นี่ไม่ใช่ครั้งแรกที่ Kimsuky ใช้ HTTPSpy โดย CrowdStrike เคยบันทึกว่ากลุ่มนี้ใช้โจมตีพนักงานผู้ผลิตอาวุธเยอรมันช่วงปี 2567 และ HTTPSpy ถูกใช้ครั้งแรกตั้งแต่ปี 2565
วิธีการโจมตี
ไฟล์ติดตั้งปลอมมีหน้าที่หลักคือเปิดใช้เพย์โหลด DLL ขั้นที่สอง (“MemLoader.dll”) ผ่าน “regsvr32.exe” แล้วรันสคริปต์ batch เพื่อลบตัวเองออกจากดิสก์
DLL จะสร้าง persistence บนเครื่องเหยื่อด้วย scheduled task และติดต่อเซิร์ฟเวอร์ C2 เพื่อดึงเพย์โหลดถัดไป โดยผู้โจมตีน่าจะเฝ้าดู GET request ที่เกิดซ้ำ แล้วเลือกส่งเพย์โหลดให้เฉพาะเหยื่อบางราย
ในสายโจมตี Webex ไฟล์ JavaScript เข้ารหัส (“fix-camera.jse”) จะปล่อย downloader กลางผ่าน PowerShell ทำ anti-analysis แล้วดึงมัลแวร์ขั้นถัดไป สุดท้ายรัน HTTPSpy บนเครื่องเหยื่อ
HTTPSpy เป็น RAT เต็มรูปแบบ รองรับการรันคำสั่ง shell อัปโหลด/ดาวน์โหลดไฟล์ รันโปรเซส จับภาพหน้าจอ inject DLL เข้าโปรเซสตาม PID และลบตัวเองออกจาก endpoint
จุดเด่นคือเทคนิค JSONPing ที่ใช้ JSONP query เซิร์ฟเวอร์ภายในที่มัลแวร์ตั้งบนเครื่องเหยื่อ เพื่อยืนยันสถานะการทำงานแบบเรียลไทม์ โดยในสายโจมตีซอฟต์แวร์ความปลอดภัย MemLoader.dll จะเขียนไฟล์ calc.exe ลง C:\programdata\ แล้วเปิดเซิร์ฟเวอร์ที่ localhost port 62001 คอยตอบ path /ping แบบ JSONP ให้หน้าเว็บปลอมเช็กว่าเหยื่อติดมัลแวร์แล้วหรือยัง มัลแวร์ยังตั้ง persistence ผ่าน scheduled task ที่รันทุก 1 นาที ใช้ชื่อพรางเป็น ChromeUpdate หรือ EdgeUpdate ตามระดับสิทธิ์
บริษัท ENKI ยังเชื่อมโยงแคมเปญนี้กับ Kimsuky ได้อย่างมั่นใจจากตัวชี้วัดที่ใช้ซ้ำหลายจุด ทั้งการนำคีย์ RC4 ชุดเดิม (#RsfsetraW#@EsfesgsgAJOPj4eml; และ RGdcsedfd@#%dg9ser3$#$^@34sdfxl) กลับมาใช้ถอดรหัสเพย์โหลดและ config เหมือนเคสมัลแวร์ HttpTroy/HttpSpy ปี 2568, การเรียก export function ชื่อ hello, อัลกอริทึม deobfuscate สตริงแบบ XOR และ API hashing ที่ตรงกัน รวมถึงการใช้ใบรับรอง HTTPS ค่าเริ่มต้นของ XAMPP (CN=localhost, O=Apache Friends) และ ASN 19318, 26666 ที่ Kimsuky ใช้ซ้ำในโครงสร้างพื้นฐานหลายครั้ง นอกจากนี้ยังพบตัวอย่าง dropper สาย spear phishing อีก 4 ตัว (สกุล .scr/.exe/.jse) ที่แปะเอกสารลวงภายในของบริษัทเกาหลีใต้ และ PDB path ที่หลุดออกมาชี้ชื่อผู้ใช้ jira ตรงกับ metadata ในเอกสารลวง
นอกจากนี้ Kaspersky ยังพบว่า Kimsuky ใช้ฟีเจอร์ VS Code Remote Tunneling เพื่อเข้าถึงเครื่องเหยื่อแบบลับ ลดการพึ่งช่องทาง C2 แบบเดิม และพบมัลแวร์ใหม่ที่พัฒนาโดยมี LLM ช่วย เช่น HelloDoor (เขียนด้วย Rust) และ HttpMalice รวมถึง AppleSeed ที่เน้นขโมยใบรับรอง GPKI
รายงานฉบับเต็มจากบริษัท ENKI Whitehat (เผยแพร่ 27 พฤษภาคม 2569) ให้รายละเอียดเชิงลึกเพิ่มเติมว่า HttpSpy เวอร์ชันใหม่นี้เปลี่ยนสถาปัตยกรรมจากไฟล์ไบนารีเดียวมาเป็นห่วงโซ่การทำงาน 3 ขั้น (Installer → Loader → Main Module) ได้แก่ engine.dat (spyInster.dll) ทำหน้าที่ติดตั้ง, cacheMon.dat (spyLoader.dll) โหลดโมดูลหลักเข้าหน่วยความจำ และโมดูลหลัก httpSpy.dll ที่เป็น RAT ตัวจริง ทั้งยังพบเทคนิค JSONPing ที่หน้าเว็บปลอมจะยิง <script> ไปยังเซิร์ฟเวอร์ในเครื่องเหยื่อ (localhost port 62001 หรือ 16106) ผ่าน JSONP เพื่อข้าม Same-Origin Policy และตรวจว่ามัลแวร์ทำงานอยู่หรือไม่ ถ้ายังไม่ติดก็จะขึ้น pop-up ให้ติดตั้งซ้ำ


ผลกระทบต่อไทย
แม้ Kimsuky จะพุ่งเป้าเกาหลีใต้เป็นหลัก แต่กลุ่มนี้มีประวัติขยายเป้าไปยังหลายประเทศ และเทคนิคที่ใช้เป็นภัยที่องค์กรไทยต้องเรียนรู้ การปลอมหน้าติดตั้ง “ซอฟต์แวร์ความปลอดภัย” เป็นกลลวงที่ได้ผลสูง เพราะเหยื่อมักเชื่อว่ากำลังเพิ่มความปลอดภัย ทั้งที่กำลังติดตั้งมัลแวร์ — องค์กรไทยที่บังคับติดตั้งโปรแกรมความปลอดภัยจึงเสี่ยงถูกเลียนแบบ เทคนิค Webex ปลอมและ “แก้ปัญหากล้องด้วยการรันสคริปต์” คล้ายกับ ClickFix ที่กำลังระบาดทั่วโลก และใช้ได้กับผู้ใช้ไทยที่ประชุมออนไลน์เป็นประจำ การใช้ VS Code Remote Tunnel เป็นช่องทางเข้าถึงลับ เป็นเทรนด์ที่ทีมความปลอดภัยไทยต้องเริ่มเฝ้าระวัง เพราะเป็นเครื่องมือที่ถูกต้องตามกฎหมายและมักไม่ถูกบล็อก
คำแนะนำ
ดาวน์โหลดซอฟต์แวร์ความปลอดภัยจากเว็บไซต์ทางการของผู้ผลิตเท่านั้น อย่าเชื่อหน้าติดตั้งที่ส่งผ่านลิงก์หรืออีเมล
ห้ามรันสคริปต์หรือคำสั่งที่หน้าเว็บประชุม (เช่น Webex/Zoom ปลอม) สั่งให้ทำเพื่อ “แก้ปัญหากล้อง/ไมค์” เด็ดขาด
เฝ้าระวังการใช้ regsvr32.exe เรียก DLL ผิดปกติ และ scheduled task ที่สร้างใหม่โดยไม่ทราบที่มา
ตรวจสอบและจำกัดการใช้ VS Code Remote Tunnel, Cloudflare Quick Tunnels และ DWAgent ในเครือข่ายองค์กร
เฝ้าระวังพฤติกรรม PowerShell ที่โหลดสคริปต์แบบไดนามิกและการติดต่อ C2
สำหรับหน่วยงานที่ใช้ใบรับรอง GPKI หรือใบรับรองสำคัญ ให้ตรวจสอบการเข้าถึงไดเรกทอรีที่เก็บใบรับรองเป็นพิเศษ
Indicators of Compromise (IoCs)
หมายเหตุ: indicator ทั้งหมด defang แล้ว (
[.],hxxp) เพื่อความปลอดภัย ก่อนนำไปใช้ต้องแปลงกลับเป็นรูปแบบปกติ
โดเมน / URL
| Indicator | คำอธิบาย |
|---|---|
www.ibizplus.n-e[.]kr/install.html | หน้าติดตั้งซอฟต์แวร์ความปลอดภัยปลอม (B2B messaging) |
load.serverpit[.]com/fwrite.php | เซิร์ฟเวอร์ C2 ดึงเพย์โหลด (สายซอฟต์แวร์ความปลอดภัย) |
load.erasecloud.n-e[.]kr/login.php | C2 downloader (spear phishing) |
conference.birdriver[.]org | หน้า Cisco Webex meeting ปลอม |
download.birdriver[.]org/download.php | เซิร์ฟเวอร์กระจายมัลแวร์ (สาย Webex) |
hdrgdrfes.chickenkiller[.]com/index.php | C2 ของโมดูลหลัก HttpSpy |
pipeline.embeddedonline[.]org/check.php | หน้าปลอมใหม่ polling + แจกมัลแวร์ |
bigfile.jaycloudlab[.]com/download.php | C2 downloader (spear phishing) |
IP Address
| Indicator | คำอธิบาย |
|---|---|
163.245.221[.]218 | โครงสร้างพื้นฐาน Kimsuky |
163.245.215[.]46 | โครงสร้างพื้นฐาน Kimsuky |
27.102.113[.]106 | โครงสร้างพื้นฐาน Kimsuky |
157.250.202[.]123 | โฮสต์หน้า recaptcha.html (JSONPing) |
MD5 Hash (มัลแวร์หลัก)
| Hash | ไฟล์ |
|---|---|
a581fdea0970f8a5b6cfec4853c802d7 | httpSpy.dll (โมดูลหลัก RAT) |
c6de1be41dcfbad9cae76c58eae7f5a3 | engine.dat (spyInster.dll — installer) |
50f619aaba1d28882022ced135b13a07 | cacheMon.dat (spyLoader.dll — loader) |
c61a6efe1a169c6c1d8595af3ff0dd74 | mTSTCv8.mdxm (loadDll.dll — downloader) |
bea602695d58cbf25fff058834e36c1d | MemLoader.dll |
b4dd4c76d7deef4cf532e240b7f84c9d | fix-camera.jse |
4a476abcf741323b367eda0ec49f8c38 | nos-setup.exe |
cc837d2b2af4bd9c1c3faf61cefeb848 | astx-setup.exe |
คีย์ RC4 / PDB Path
| Indicator | คำอธิบาย |
|---|---|
#RsfsetraW#@EsfesgsgAJOPj4eml; | คีย์ถอดรหัสเพย์โหลด (ใช้ซ้ำจาก HttpTroy 2568) |
RGdcsedfd@#%dg9ser3$#$^@34sdfxl | คีย์ถอดรหัส config / C2 traffic |
%^fseRW#r3qwrwfsddREfGEgse)(14); | คีย์ถอดรหัส cacheMon.dat |
C:\Users\jira\Documents\My_Received_Files\loadDll\x64\Release\loadDll.pdb | PDB path (ชื่อผู้ใช้ jira) |
