สรุปสั้น
กลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ที่พูดภาษาจีน ถูกเชื่อมโยงเข้ากับแบ็กดอร์ที่ออกแบบมาเฉพาะตัวใหม่ชื่อ TinyRCT ซึ่งเป็นส่วนหนึ่งของการโจมตีไซเบอร์ที่มุ่งเป้าหน่วยงานภาครัฐและโครงสร้างพื้นฐานสำคัญในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเฉพาะรัฐวิสาหกิจในภาคพลังงานและภาครัฐ ทีมวิจัย Unit 42 ของบริษัท Palo Alto Networks ระบุว่ากิจกรรมนี้เป็นฝีมือของกลุ่มที่ถูกเรียกว่า CL-STA-1062 ซึ่งมีความเชื่อมโยงทับซ้อนกับกลุ่ม UAT-7237 ที่บริษัท Cisco Talos เคยเปิดโปงครั้งแรกเมื่อเดือนสิงหาคม 2025 จากแคมเปญที่โจมตีหน่วยงานด้านโครงสร้างพื้นฐานเว็บในไต้หวัน Unit 42 ยังพบว่ากลุ่มนี้เคยทำแคมเปญโจมตีภาคส่วนยุทธศาสตร์ในเอเชียตะวันออกมาตั้งแต่เดือนมีนาคม 2022 บ่งชี้ถึงความสนใจในภูมิภาคนี้ที่กว้างและต่อเนื่อง โดยพบการเจาะระบบอย่างน้อย 10 องค์กรในเอเชียตะวันออกเฉียงใต้ในช่วงเดือนตุลาคมถึงธันวาคม 2025 และในกรณีหนึ่งผู้โจมตีได้ขโมยซอร์สโค้ดของเว็บเซิร์ฟเวอร์ออกไปทั้งไดเรกทอรีจากหน่วยงานรัฐ
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่าทีม Unit 42 ของบริษัท Palo Alto Networks ได้เปิดเผยแคมเปญของกลุ่ม CL-STA-1062 ที่ใช้แบ็กดอร์ TinyRCT โจมตีหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ Unit 42 ระบุว่าในเชิงเทคนิค ผู้โจมตีเบื้องหลัง CL-STA-1062 พึ่งพาชุดเครื่องมือแบบผสม โดยมักใช้เครื่องมือโอเพนซอร์สทั่วไปอย่าง SoftEther VPN, Mimikatz และ VNT แต่ล่าสุดได้นำ TinyRCT ซึ่งเป็นแบ็กดอร์ที่ออกแบบมาเฉพาะและไม่เคยถูกบันทึกไว้มาก่อนเข้ามาใช้งาน TinyRCT มีความสามารถในการรันคำสั่งตามอำเภอใจ สำรวจและดึงไฟล์ออกไป จับภาพหน้าจอของอุปกรณ์ และลบตัวเองออกจากเครื่องที่ถูกเจาะ
ในแคมเปญหนึ่งที่ตรวจพบเมื่อเดือนกันยายน 2025 กลุ่มนี้ได้เจาะเข้าหน่วยงานรัฐแห่งหนึ่งในเอเชียตะวันออกเฉียงใต้และวาง web shell เพื่อดึงข้อมูลออกจากเซิร์ฟเวอร์ MS SQL ในการโจมตีเดียวกันนั้น ผู้โจมตียังทำการสำรวจเครือข่ายของอีกหน่วยงานรัฐในประเทศเดียวกัน ซึ่ง Unit 42 ระบุว่าสะท้อนถึงความพยายามค้นหาโอกาสในการเคลื่อนตัวด้านข้าง (lateral movement) และขยายการเข้าถึง ในกรณีหนึ่งพบว่าผู้โจมตีจัดเตรียมและขโมยซอร์สโค้ดของเว็บเซิร์ฟเวอร์ออกไปทั้งไดเรกทอรีจากหน่วยงานรัฐ โดยรวมแล้ว Unit 42 ตรวจพบการเจาะระบบของอย่างน้อย 10 องค์กรในเอเชียตะวันออกเฉียงใต้ระหว่างเดือนตุลาคมถึงธันวาคม 2025
วิธีการโจมตี
ตั้งแต่กลางปี 2025 เป็นต้นมา CL-STA-1062 ได้มุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญ โดยสแกนหาช่องโหว่ในหลายองค์กรของภูมิภาค จากนั้นสร้างจุดยึดหัวหาดผ่าน ASPX web shell ที่ช่วยให้ทำการสำรวจเบื้องต้นและส่งคำขอออกจากเครือข่ายที่ติดเชื้อไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม นำไปสู่การติดตั้งเพย์โหลดเพิ่มเติม รวมถึงคอมโพเนนต์ SoftEther VPN และไฟล์บีบอัด RAR ที่บรรจุชุดเครื่องมือของกลุ่ม เช่น Yuze (พร็อกซี SOCKS5) และ VNT (VPN) โดยมักปลอมแปลงให้เป็นไฟล์รันของ VMware หรือเอเจนต์ XDR เช่น XDRAgent.exe, vmtools.exe และ vmwared.exe
การวิเคราะห์โครงสร้างพื้นฐานของแคมเปญนำไปสู่การค้นพบแบ็กดอร์ .NET ที่ไม่เคยถูกบันทึกมาก่อนชื่อ TinyRCT (ปลอมเป็น PerfWatson2.exe) ซึ่งเป็นโทรจันเข้าถึงระยะไกลแบบเบาที่เปิดทางให้สำรวจระบบ รันคำสั่ง อัปโหลดไฟล์ จับภาพหน้าจอ ควบคุมเครื่องจากระยะไกล และลบร่องรอยของตัวเอง พร้อมหลบเลี่ยงการทำงานในสภาพแวดล้อม sandbox โดยจะสร้างช่องทางสื่อสารถาวรกับเซิร์ฟเวอร์ระยะไกล 45.32.113[.]172 ผ่าน HTTP แต่เข้ารหัสข้อมูลที่แลกเปลี่ยนด้วย AES-128 แบบ CBC mode มัลแวร์ทำงานบนโมเดล beaconing ด้วยช่วงเวลาพักเริ่มต้น 10 วินาทีระหว่างคำขอแต่ละครั้ง โดย poll คำสั่งจากเซิร์ฟเวอร์ C2 ด้วยคำขอ GET และส่งข้อมูลที่ขโมยมาผ่านคำขอ POST
สำหรับวิธีการส่ง TinyRCT จะมาในรูปไฟล์บีบอัดอันตรายชื่อ chrome_setup.zip ที่บรรจุไฟล์รันที่ถูกต้องตามกฎหมาย (chrome_setup.exe), ไฟล์ตั้งค่า (chrome_setup.exe.config) และ DLL ปลอม (MyAppDomainManager.dll) ซึ่งถูกใช้กระตุ้นการโจมตีแบบ AppDomainManager injection เพื่อโหลด DLL อันตรายที่ทำหน้าที่เป็นตัวดาวน์โหลด โดยติดต่อไปยัง 139.180.134[.]221 เพื่อดึงไฟล์ PerfWatson2.exe มาทำงาน
ผลกระทบต่อไทย
แคมเปญนี้มุ่งเป้าโดยตรงที่หน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ ซึ่งประเทศไทยเป็นส่วนหนึ่งของภูมิภาคนี้และมีรัฐวิสาหกิจด้านพลังงานและหน่วยงานภาครัฐที่อาจตกเป็นเป้าหมายลักษณะเดียวกัน การที่กลุ่ม CL-STA-1062 เน้นภาคพลังงานและภาครัฐ ใช้ web shell เป็นจุดตั้งต้น แล้วเคลื่อนตัวด้านข้างเพื่อขโมยซอร์สโค้ดและข้อมูลละเอียดอ่อน ทำให้หน่วยงานไทยที่มีระบบเว็บแอปพลิเคชันเปิดสู่อินเทอร์เน็ตและฐานข้อมูล MS SQL มีความเสี่ยงสูง องค์กรควรเฝ้าระวังไฟล์ที่ปลอมเป็นเครื่องมือ VMware หรือ XDR และตรวจสอบการเชื่อมต่อ HTTP ออกไปยัง IP ต้องสงสัยที่ระบุไว้
คำแนะนำ
ผู้ดูแลระบบควรตรวจสอบและบล็อกการเชื่อมต่อไปยัง IP 45.32.113[.]172 และ 139.180.134[.]221 รวมถึงเฝ้าระวังไฟล์รันที่ตั้งชื่อปลอมเป็นเครื่องมือระบบ เช่น PerfWatson2.exe, XDRAgent.exe, vmtools.exe, vmwared.exe และไฟล์ chrome_setup.zip/MyAppDomainManager.dll ควรตรวจหา web shell ทั้งแบบ ASPX และที่ฝังในเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ต ปิดช่องโหว่ของเว็บแอปพลิเคชันที่อาจถูกใช้เป็นจุดเข้า เฝ้าระวังพฤติกรรม beaconing แบบ HTTP ที่มีช่วงเวลาคงที่ และจำกัดสิทธิ์การเข้าถึงเซิร์ฟเวอร์ MS SQL พร้อมเปิดใช้การตรวจจับการเคลื่อนตัวด้านข้างภายในเครือข่าย
Indicators of Compromise (IoCs)
หมายเหตุ: indicator ด้านล่างบางส่วน defang ไว้ (เช่น
45.32.113[.]172) เพื่อความปลอดภัย
| Indicator | ประเภท | คำอธิบาย |
|---|---|---|
| 45.32.113[.]172 | IPv4 (C2) | เซิร์ฟเวอร์สั่งการและควบคุมของ TinyRCT (HTTP + AES-128 CBC) |
| 139.180.134[.]221 | IPv4 | เซิร์ฟเวอร์ดาวน์โหลด PerfWatson2.exe |
| PerfWatson2.exe | ไฟล์ | TinyRCT แบ็กดอร์ .NET |
| chrome_setup.zip | ไฟล์ | ไฟล์บีบอัดอันตรายตัวส่ง TinyRCT |
| MyAppDomainManager.dll | ไฟล์ | DLL ปลอมสำหรับ AppDomainManager injection |
| XDRAgent.exe / vmtools.exe / vmwared.exe | ไฟล์ | ชื่อปลอมของเครื่องมือ (Yuze, VNT, SoftEther) |
