สรุปสั้น
กลุ่มภัยคุกคาม APT จีน Mustang Panda ถูกจับได้ว่ากำลังรันแคมเปญโจมตีไซเบอร์ที่ซับซ้อนด้วยเครื่องมือเข้าถึงระยะไกล (RAT) ประจำตัวคือ PlugX กลุ่มนี้ใช้อัปเดตเบราว์เซอร์ปลอมที่ตกแต่งอย่างแนบเนียนเพื่อหลอกให้ผู้ใช้ดาวน์โหลด loader มัลแวร์หลายขั้นตอนที่ติดตั้งตัวเองอย่างเงียบ ๆ แล้วเริ่มติดต่อกับเซิร์ฟเวอร์สั่งการระยะไกล จุดเด่นของการโจมตีคือการแยกแต่ละขั้นตอนของการติดมัลแวร์ออกจากกันอย่างชัดเจน โดยใช้ห่วงโซ่ส่วนประกอบที่เชื่อมโยงกันแน่น ซึ่งจะเผยจุดประสงค์ที่แท้จริงก็ต่อเมื่อทำงานร่วมกัน ทำให้ยากต่อการตรวจจับด้วยการสแกนไฟล์ทีละไฟล์
นักวิเคราะห์จาก BlueCyber ระบุว่าห่วงโซ่เริ่มจากไฟล์ต้องสงสัยสองตัวคือ Browser_Update.zip และไฟล์รูปปลอมชื่อ iis.jpg ที่ถูกหลายผู้ขายบน VirusTotal ตั้งธงว่าอันตราย โดยมีตัว dropper ชื่อ Browser_Updater.exe เปิดหน้าต่างอัปเดตปลอมสไตล์ Adobe Acrobat พร้อมปุ่ม Install/Cancel และมีลายเซ็นดิจิทัลจากบริษัทจีนเพื่อให้ดูน่าเชื่อถือ เมื่อผู้ใช้คลิก Install มัลแวร์จะติดต่อเซิร์ฟเวอร์ระยะไกลและดาวน์โหลดไฟล์ที่ดูเหมือน JPEG แต่แท้จริงคือ MSI installer ที่ซ่อนอยู่ ซึ่งจะวางไฟล์สามตัวลงเครื่อง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าว่ากลุ่ม Mustang Panda ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่รัฐบาลจีนหนุนหลัง ใช้มัลแวร์ PlugX RAT ในแคมเปญใหม่ที่ออกแบบมาเพื่อหลบการตรวจจับโดยเฉพาะ นักวิเคราะห์ภัยคุกคามไซเบอร์จากบริษัท BlueCyber ออกบทความการวิเคราะห์เชิงเทคนิคโดยละเอียด ระบุมัลแวร์ และวิธีการแพร่กระจาย พร้อมตั้งข้อสังเกตว่าห่วงโซ่การโจมตีถูกแบ่งเป็นหลายชั้นเล็ก ๆ โดยแต่ละขั้นรับหน้าที่เฉพาะ ช่วยลดตัวบ่งชี้การตรวจจับแบบ static และชะลอการวิเคราะห์มัลแวร์
บริษัท BlueCyber ระบุในรายงานว่าการโจมตีถูกออกแบบให้ดูปกติทุกประการเมื่อมองผ่าน ๆ
ตัว dropper ชื่อ Browser_Updater.exe เปิดหน้าต่างอัปเดตปลอมที่เลียนแบบ Adobe Acrobat อย่างแนบเนียน เมื่อผู้ใช้คลิก Install ตัว dropper จะติดต่อเซิร์ฟเวอร์ระยะไกลแบบเงียบ ๆ และดาวน์โหลดไฟล์ที่ดูเหมือนไฟล์รูปภาพ JPEG แต่จริง ๆ มีไฟล์ติดตั้งรูปแบบ MSI installer ซ่อนไว้ ซึ่งจะใช้วางไฟล์ทั้งหมด 3 ไฟล์ลงเครื่องเหยื่อ
ไฟล์ทั้ง 3 ที่ถูกวาง ได้แก่ Avk.exe, Avk.dll และ AVKTray.dat ทั้งนี้ความแยบยลอยู่ที่ไฟล์ Avk.exeซึ่งเป็นไฟล์ไบนารีที่ถูกต้องและมีลายเซ็นจาก G DATA AntiVirus ถูกใช้เป็นฉากบังหน้าเพื่อโหลด DLL อันตรายผ่านเทคนิค DLL sideloading เนื่องจากไฟล์ที่รันได้ตัวนี้มีลายเซ็นจากผู้ขายที่ถูกต้อง จึงทำให้มีสัญญาณเตือนด้านความปลอดภัยน้อยลงมาก เมื่อพิจารณาเพียงตัวไฟล์


วิธีการโจมตี
Avk.dll ทำหน้าที่เป็น loader ขั้นกลาง ใช้เทคนิค runtime hashing เพื่อ resolve Windows API โดยไม่เปิดเผยผ่านการวิเคราะห์ static จากนั้นอ่าน payload ที่เข้ารหัสภายใน AVKTray.dat ให้สิทธิ์ execute ในหน่วยความจำ แล้วกระตุ้นการทำงานผ่าน Windows threadpool callback ซึ่งซ่อนต้นตอที่แท้จริงของการรันจากเครื่องมือเฝ้าระวัง
payload ภายใน AVKTray.dat ผ่านการถอดรหัสหลายชั้น ทั้ง XOR ตามด้วย RC4 โดยใช้คีย์ VOphJo ก่อนถูก map เข้าหน่วยความจำด้วยมือโดยไม่แตะดิสก์ในรูปไฟล์ที่รันได้ปกติ
หลังโหลดเสร็จ มันติดตั้งตัวเองไว้ที่ %PUBLIC%\GData และเขียน persistence entry ลงใน Windows Run registry key เพื่อให้รีสตาร์ททุกครั้งที่ผู้ใช้ล็อกอิน
เมื่อทำงานแล้ว payload จะเชื่อมต่อเซิร์ฟเวอร์สั่งการ (C2) ที่ fruitbrat[.]com ผ่านพอร์ต 443 ด้วย HTTPS เพื่อกลมกลืนกับทราฟฟิกเว็บปกติ และจัดรูปคำขอให้เลียนแบบกิจกรรมของเบราว์เซอร์ Microsoft Edge ทำให้ตรวจจับระดับเครือข่ายยากยิ่งขึ้น โดยเก็บ client ID เฉพาะไว้ใน registry เพื่อระบุเครื่องที่ติดมัลแวร์
ความสามารถของ implant นี้กว้างมาก ทั้งดาวน์โหลดและรันไฟล์จาก C2 เปิด process และดักจับ output อัปโหลด/ดาวน์โหลดไฟล์เป็น chunk แจกแจงและลบไฟล์ และฆ่าเครื่องมือ diagnostic อย่าง iediagcmd.exe เพื่อกันไม่ให้แอดมินสังเกตเห็นความผิดปกติ นอกจากนี้ยังมี plugin loader stub ที่เปิดให้ผู้โจมตีส่งความสามารถเพิ่มเข้าเครื่องที่ติดมัลแวร์ได้ตามต้องการ
ผลกระทบต่อไทย
Mustang Panda เป็นกลุ่ม APT ที่มีประวัติยาวนานในการโจมตีหน่วยงานรัฐและองค์กรในภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย โดยเฉพาะหน่วยงานราชการ กระทรวงต่างประเทศ และองค์กรที่เกี่ยวข้องกับนโยบายภูมิภาค จึงเป็นภัยที่เกี่ยวข้องกับไทยโดยตรง
รายงานยังระบุโดเมน C2 อีกตัวคือ dalerocks[.]com ที่ใช้กับ variant ที่มุ่งเป้าเวียดนามเมื่อเดือนพฤษภาคม 2569 แสดงให้เห็นว่ากลุ่มนี้กำลังเคลื่อนไหวในภูมิภาคอาเซียนอย่างต่อเนื่อง
เทคนิคปลอมอัปเดตเบราว์เซอร์และใช้ไบนารีแอนติไวรัสที่ถูกต้อง (G DATA) ทำ DLL sideloading ทำให้ผู้ใช้และระบบป้องกันทั่วไปในองค์กรไทยตรวจจับได้ยาก เพราะไฟล์มีลายเซ็นถูกต้องและหน้าต่างอัปเดตดูน่าเชื่อถือ
เนื่องจาก PlugX ฝังตัวถาวรและสื่อสารแบบกลมกลืนกับทราฟฟิก Edge องค์กรไทยที่ไม่มีการตรวจสอบพฤติกรรมเชิงลึกอาจถูกฝังตัวเป็นเวลานานโดยไม่รู้ตัว นำไปสู่การจารกรรมข้อมูลระยะยาว
คำแนะนำ
- เฝ้าระวังไฟล์ชุดต้องสงสัย — ตรวจหา Avk.exe, Avk.dll และ AVKTray.dat ที่ปรากฏพร้อมกันในไดเรกทอรีอย่าง %PUBLIC%\GData หรือ %LOCALAPPDATA%\pZhozR
- ตรวจ Run registry key — มองหา entry ที่ชี้ไปยัง Avk.exe พร้อม argument ตัวเลขต่อท้าย ซึ่งเป็นรูปแบบ persistence ของ PlugX ตัวนี้
- บล็อก C2 — บล็อกการเชื่อมต่อไปยัง fruitbrat[.]com และ dalerocks[.]com รวมถึง IP 45[.]251[.]243[.]210
- ระวังอัปเดตเบราว์เซอร์ปลอม — อบรมผู้ใช้ไม่ให้ดาวน์โหลดอัปเดตจาก pop-up หรือไฟล์ ZIP ที่ไม่ได้มาจากช่องทางทางการของผู้ผลิต
- ติดตามพฤติกรรมทั้งห่วงโซ่ — BlueCyber ย้ำว่าการติดตามพฤติกรรมทั้งห่วงโซ่เชื่อถือได้กว่าการพึ่งค่า IOC รายตัว เพราะ PlugX เปลี่ยน variant บ่อย
- ใช้ EDR ที่ตรวจ in-memory execution — เนื่องจาก payload ถูก map เข้าหน่วยความจำโดยไม่แตะดิสก์ ควรใช้เครื่องมือที่ตรวจจับพฤติกรรมระดับหน่วยความจำ
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| SHA-256 | 79af67ed343bc45b6a19e4836ebb83f1130243ff98f48465f9a7a807ba4bfa91 | iis.jpg (payload MSI ปลอมเป็นรูป) |
| SHA-256 | 106f46375d8497d353c22c98f72ab15a9bb87beba4585d5a492fd11edc288b0b | Browser_Update.zip (archive dropper เริ่มต้น) |
| SHA-256 | 8421e7995778faf1f2a902fb2c51d85ae39481f443b7b3186068d5c33c472d99 | Avk.exe (ไบนารี G DATA ที่ถูกต้อง ใช้ sideloading) |
| SHA-256 | 4cd81d26289c4d8383a0ffa34397f0b03941554eac04f1b420269b831acc | Avk.dll (loader ขั้นกลางอันตราย) |
| SHA-256 | d4bc21e12360af2f2cb55872a90b62805150d498c452b2b1c6a05a806cbb | AVKTray.dat (คอนเทนเนอร์ payload ที่เข้ารหัส) |
| SHA-256 | b52c484a3cc383dd3b4dc79c207946b603a810edf74bff76dca7ad29d4de | final_payload.bin (PlugX implant ที่ map เข้าหน่วยความจำ) |
| IP Address | 45[.]251[.]243[.]210 | เซิร์ฟเวอร์ส่ง payload (iis.jpg ผ่าน HTTP) |
| Domain | fruitbrat[.]com:443 | เซิร์ฟเวอร์ C2 หลัก (สื่อสาร HTTPS ผ่าน WinHTTP) |
| Domain | dalerocks[.]com:443 | C2 ของ variant ที่มุ่งเป้าเวียดนาม (พ.ค. 2569) |
| File Path | %LOCALAPPDATA%\pZhozR\ | ไดเรกทอรี staging เริ่มต้นของไฟล์สามตัว |
| File Path | %PUBLIC%\GData\ | ไดเรกทอรีติดตั้งแบบถาวร |
| Registry Key | HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Data | Run key สำหรับ persistence (ค่า: Avk.exe พร้อม argument หลอก) |
| Registry Key | HKCU\Software\Classes\ms-pu\CLSID | ที่เก็บ client/install ID เฉพาะ |
| Mutex | aumhYjQIQ | mutex ที่สร้างเพื่อกัน controller ทำงานซ้ำ |
| File Name | Browser_Updater.exe | dropper เริ่มต้นปลอมเป็นอัปเดตเบราว์เซอร์ |
| RC4 Key | VOphJo | คีย์ถอดรหัส config ขณะ runtime |
หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น
[.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
