สรุปสั้น

กลุ่มภัยคุกคาม APT จีน Mustang Panda ถูกจับได้ว่ากำลังรันแคมเปญโจมตีไซเบอร์ที่ซับซ้อนด้วยเครื่องมือเข้าถึงระยะไกล (RAT) ประจำตัวคือ PlugX กลุ่มนี้ใช้อัปเดตเบราว์เซอร์ปลอมที่ตกแต่งอย่างแนบเนียนเพื่อหลอกให้ผู้ใช้ดาวน์โหลด loader มัลแวร์หลายขั้นตอนที่ติดตั้งตัวเองอย่างเงียบ ๆ แล้วเริ่มติดต่อกับเซิร์ฟเวอร์สั่งการระยะไกล จุดเด่นของการโจมตีคือการแยกแต่ละขั้นตอนของการติดมัลแวร์ออกจากกันอย่างชัดเจน โดยใช้ห่วงโซ่ส่วนประกอบที่เชื่อมโยงกันแน่น ซึ่งจะเผยจุดประสงค์ที่แท้จริงก็ต่อเมื่อทำงานร่วมกัน ทำให้ยากต่อการตรวจจับด้วยการสแกนไฟล์ทีละไฟล์

นักวิเคราะห์จาก BlueCyber ระบุว่าห่วงโซ่เริ่มจากไฟล์ต้องสงสัยสองตัวคือ Browser_Update.zip และไฟล์รูปปลอมชื่อ iis.jpg ที่ถูกหลายผู้ขายบน VirusTotal ตั้งธงว่าอันตราย โดยมีตัว dropper ชื่อ Browser_Updater.exe เปิดหน้าต่างอัปเดตปลอมสไตล์ Adobe Acrobat พร้อมปุ่ม Install/Cancel และมีลายเซ็นดิจิทัลจากบริษัทจีนเพื่อให้ดูน่าเชื่อถือ เมื่อผู้ใช้คลิก Install มัลแวร์จะติดต่อเซิร์ฟเวอร์ระยะไกลและดาวน์โหลดไฟล์ที่ดูเหมือน JPEG แต่แท้จริงคือ MSI installer ที่ซ่อนอยู่ ซึ่งจะวางไฟล์สามตัวลงเครื่อง

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าว่ากลุ่ม Mustang Panda ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่รัฐบาลจีนหนุนหลัง ใช้มัลแวร์ PlugX RAT ในแคมเปญใหม่ที่ออกแบบมาเพื่อหลบการตรวจจับโดยเฉพาะ นักวิเคราะห์ภัยคุกคามไซเบอร์จากบริษัท BlueCyber ออกบทความการวิเคราะห์เชิงเทคนิคโดยละเอียด ระบุมัลแวร์ และวิธีการแพร่กระจาย พร้อมตั้งข้อสังเกตว่าห่วงโซ่การโจมตีถูกแบ่งเป็นหลายชั้นเล็ก ๆ โดยแต่ละขั้นรับหน้าที่เฉพาะ ช่วยลดตัวบ่งชี้การตรวจจับแบบ static และชะลอการวิเคราะห์มัลแวร์

   บริษัท BlueCyber ระบุในรายงานว่าการโจมตีถูกออกแบบให้ดูปกติทุกประการเมื่อมองผ่าน ๆ
ตัว dropper ชื่อ Browser_Updater.exe เปิดหน้าต่างอัปเดตปลอมที่เลียนแบบ Adobe Acrobat อย่างแนบเนียน เมื่อผู้ใช้คลิก Install ตัว dropper จะติดต่อเซิร์ฟเวอร์ระยะไกลแบบเงียบ ๆ และดาวน์โหลดไฟล์ที่ดูเหมือนไฟล์รูปภาพ JPEG แต่จริง ๆ มีไฟล์ติดตั้งรูปแบบ MSI installer ซ่อนไว้ ซึ่งจะใช้วางไฟล์ทั้งหมด 3 ไฟล์ลงเครื่องเหยื่อ

ไฟล์ทั้ง 3 ที่ถูกวาง ได้แก่ Avk.exe, Avk.dll และ AVKTray.dat ทั้งนี้ความแยบยลอยู่ที่ไฟล์ Avk.exeซึ่งเป็นไฟล์ไบนารีที่ถูกต้องและมีลายเซ็นจาก G DATA AntiVirus ถูกใช้เป็นฉากบังหน้าเพื่อโหลด DLL อันตรายผ่านเทคนิค DLL sideloading เนื่องจากไฟล์ที่รันได้ตัวนี้มีลายเซ็นจากผู้ขายที่ถูกต้อง จึงทำให้มีสัญญาณเตือนด้านความปลอดภัยน้อยลงมาก เมื่อพิจารณาเพียงตัวไฟล์

Mustang Panda deploys PlugX RAT through multi-stage LNK and PowerShell attack chain
Mustang Panda deploys PlugX RAT through multi-stage LNK and PowerShell attack chain

วิธีการโจมตี

Avk.dll ทำหน้าที่เป็น loader ขั้นกลาง ใช้เทคนิค runtime hashing เพื่อ resolve Windows API โดยไม่เปิดเผยผ่านการวิเคราะห์ static จากนั้นอ่าน payload ที่เข้ารหัสภายใน AVKTray.dat ให้สิทธิ์ execute ในหน่วยความจำ แล้วกระตุ้นการทำงานผ่าน Windows threadpool callback ซึ่งซ่อนต้นตอที่แท้จริงของการรันจากเครื่องมือเฝ้าระวัง

payload ภายใน AVKTray.dat ผ่านการถอดรหัสหลายชั้น ทั้ง XOR ตามด้วย RC4 โดยใช้คีย์ VOphJo ก่อนถูก map เข้าหน่วยความจำด้วยมือโดยไม่แตะดิสก์ในรูปไฟล์ที่รันได้ปกติ

หลังโหลดเสร็จ มันติดตั้งตัวเองไว้ที่ %PUBLIC%\GData และเขียน persistence entry ลงใน Windows Run registry key เพื่อให้รีสตาร์ททุกครั้งที่ผู้ใช้ล็อกอิน

เมื่อทำงานแล้ว payload จะเชื่อมต่อเซิร์ฟเวอร์สั่งการ (C2) ที่ fruitbrat[.]com ผ่านพอร์ต 443 ด้วย HTTPS เพื่อกลมกลืนกับทราฟฟิกเว็บปกติ และจัดรูปคำขอให้เลียนแบบกิจกรรมของเบราว์เซอร์ Microsoft Edge ทำให้ตรวจจับระดับเครือข่ายยากยิ่งขึ้น โดยเก็บ client ID เฉพาะไว้ใน registry เพื่อระบุเครื่องที่ติดมัลแวร์

ความสามารถของ implant นี้กว้างมาก ทั้งดาวน์โหลดและรันไฟล์จาก C2 เปิด process และดักจับ output อัปโหลด/ดาวน์โหลดไฟล์เป็น chunk แจกแจงและลบไฟล์ และฆ่าเครื่องมือ diagnostic อย่าง iediagcmd.exe เพื่อกันไม่ให้แอดมินสังเกตเห็นความผิดปกติ นอกจากนี้ยังมี plugin loader stub ที่เปิดให้ผู้โจมตีส่งความสามารถเพิ่มเข้าเครื่องที่ติดมัลแวร์ได้ตามต้องการ

ผลกระทบต่อไทย

Mustang Panda เป็นกลุ่ม APT ที่มีประวัติยาวนานในการโจมตีหน่วยงานรัฐและองค์กรในภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย โดยเฉพาะหน่วยงานราชการ กระทรวงต่างประเทศ และองค์กรที่เกี่ยวข้องกับนโยบายภูมิภาค จึงเป็นภัยที่เกี่ยวข้องกับไทยโดยตรง

รายงานยังระบุโดเมน C2 อีกตัวคือ dalerocks[.]com ที่ใช้กับ variant ที่มุ่งเป้าเวียดนามเมื่อเดือนพฤษภาคม 2569 แสดงให้เห็นว่ากลุ่มนี้กำลังเคลื่อนไหวในภูมิภาคอาเซียนอย่างต่อเนื่อง

เทคนิคปลอมอัปเดตเบราว์เซอร์และใช้ไบนารีแอนติไวรัสที่ถูกต้อง (G DATA) ทำ DLL sideloading ทำให้ผู้ใช้และระบบป้องกันทั่วไปในองค์กรไทยตรวจจับได้ยาก เพราะไฟล์มีลายเซ็นถูกต้องและหน้าต่างอัปเดตดูน่าเชื่อถือ

เนื่องจาก PlugX ฝังตัวถาวรและสื่อสารแบบกลมกลืนกับทราฟฟิก Edge องค์กรไทยที่ไม่มีการตรวจสอบพฤติกรรมเชิงลึกอาจถูกฝังตัวเป็นเวลานานโดยไม่รู้ตัว นำไปสู่การจารกรรมข้อมูลระยะยาว

คำแนะนำ

  1. เฝ้าระวังไฟล์ชุดต้องสงสัย — ตรวจหา Avk.exe, Avk.dll และ AVKTray.dat ที่ปรากฏพร้อมกันในไดเรกทอรีอย่าง %PUBLIC%\GData หรือ %LOCALAPPDATA%\pZhozR
  2. ตรวจ Run registry key — มองหา entry ที่ชี้ไปยัง Avk.exe พร้อม argument ตัวเลขต่อท้าย ซึ่งเป็นรูปแบบ persistence ของ PlugX ตัวนี้
  3. บล็อก C2 — บล็อกการเชื่อมต่อไปยัง fruitbrat[.]com และ dalerocks[.]com รวมถึง IP 45[.]251[.]243[.]210
  4. ระวังอัปเดตเบราว์เซอร์ปลอม — อบรมผู้ใช้ไม่ให้ดาวน์โหลดอัปเดตจาก pop-up หรือไฟล์ ZIP ที่ไม่ได้มาจากช่องทางทางการของผู้ผลิต
  5. ติดตามพฤติกรรมทั้งห่วงโซ่ — BlueCyber ย้ำว่าการติดตามพฤติกรรมทั้งห่วงโซ่เชื่อถือได้กว่าการพึ่งค่า IOC รายตัว เพราะ PlugX เปลี่ยน variant บ่อย
  6. ใช้ EDR ที่ตรวจ in-memory execution — เนื่องจาก payload ถูก map เข้าหน่วยความจำโดยไม่แตะดิสก์ ควรใช้เครื่องมือที่ตรวจจับพฤติกรรมระดับหน่วยความจำ

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
SHA-25679af67ed343bc45b6a19e4836ebb83f1130243ff98f48465f9a7a807ba4bfa91iis.jpg (payload MSI ปลอมเป็นรูป)
SHA-256106f46375d8497d353c22c98f72ab15a9bb87beba4585d5a492fd11edc288b0bBrowser_Update.zip (archive dropper เริ่มต้น)
SHA-2568421e7995778faf1f2a902fb2c51d85ae39481f443b7b3186068d5c33c472d99Avk.exe (ไบนารี G DATA ที่ถูกต้อง ใช้ sideloading)
SHA-2564cd81d26289c4d8383a0ffa34397f0b03941554eac04f1b420269b831accAvk.dll (loader ขั้นกลางอันตราย)
SHA-256d4bc21e12360af2f2cb55872a90b62805150d498c452b2b1c6a05a806cbbAVKTray.dat (คอนเทนเนอร์ payload ที่เข้ารหัส)
SHA-256b52c484a3cc383dd3b4dc79c207946b603a810edf74bff76dca7ad29d4definal_payload.bin (PlugX implant ที่ map เข้าหน่วยความจำ)
IP Address45[.]251[.]243[.]210เซิร์ฟเวอร์ส่ง payload (iis.jpg ผ่าน HTTP)
Domainfruitbrat[.]com:443เซิร์ฟเวอร์ C2 หลัก (สื่อสาร HTTPS ผ่าน WinHTTP)
Domaindalerocks[.]com:443C2 ของ variant ที่มุ่งเป้าเวียดนาม (พ.ค. 2569)
File Path%LOCALAPPDATA%\pZhozR\ไดเรกทอรี staging เริ่มต้นของไฟล์สามตัว
File Path%PUBLIC%\GData\ไดเรกทอรีติดตั้งแบบถาวร
Registry KeyHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G DataRun key สำหรับ persistence (ค่า: Avk.exe พร้อม argument หลอก)
Registry KeyHKCU\Software\Classes\ms-pu\CLSIDที่เก็บ client/install ID เฉพาะ
MutexaumhYjQIQmutex ที่สร้างเพื่อกัน controller ทำงานซ้ำ
File NameBrowser_Updater.exedropper เริ่มต้นปลอมเป็นอัปเดตเบราว์เซอร์
RC4 KeyVOphJoคีย์ถอดรหัส config ขณะ runtime

หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น [.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

แหล่งอ้างอิง