สรุปสั้น

กลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ที่พูดภาษาจีน ถูกเชื่อมโยงเข้ากับแบ็กดอร์ที่ออกแบบมาเฉพาะตัวใหม่ชื่อ TinyRCT ซึ่งเป็นส่วนหนึ่งของการโจมตีไซเบอร์ที่มุ่งเป้าหน่วยงานภาครัฐและโครงสร้างพื้นฐานสำคัญในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเฉพาะรัฐวิสาหกิจในภาคพลังงานและภาครัฐ ทีมวิจัย Unit 42 ของบริษัท Palo Alto Networks ระบุว่ากิจกรรมนี้เป็นฝีมือของกลุ่มที่ถูกเรียกว่า CL-STA-1062 ซึ่งมีความเชื่อมโยงทับซ้อนกับกลุ่ม UAT-7237 ที่บริษัท Cisco Talos เคยเปิดโปงครั้งแรกเมื่อเดือนสิงหาคม 2025 จากแคมเปญที่โจมตีหน่วยงานด้านโครงสร้างพื้นฐานเว็บในไต้หวัน Unit 42 ยังพบว่ากลุ่มนี้เคยทำแคมเปญโจมตีภาคส่วนยุทธศาสตร์ในเอเชียตะวันออกมาตั้งแต่เดือนมีนาคม 2022 บ่งชี้ถึงความสนใจในภูมิภาคนี้ที่กว้างและต่อเนื่อง โดยพบการเจาะระบบอย่างน้อย 10 องค์กรในเอเชียตะวันออกเฉียงใต้ในช่วงเดือนตุลาคมถึงธันวาคม 2025 และในกรณีหนึ่งผู้โจมตีได้ขโมยซอร์สโค้ดของเว็บเซิร์ฟเวอร์ออกไปทั้งไดเรกทอรีจากหน่วยงานรัฐ

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่าทีม Unit 42 ของบริษัท Palo Alto Networks ได้เปิดเผยแคมเปญของกลุ่ม CL-STA-1062 ที่ใช้แบ็กดอร์ TinyRCT โจมตีหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ Unit 42 ระบุว่าในเชิงเทคนิค ผู้โจมตีเบื้องหลัง CL-STA-1062 พึ่งพาชุดเครื่องมือแบบผสม โดยมักใช้เครื่องมือโอเพนซอร์สทั่วไปอย่าง SoftEther VPN, Mimikatz และ VNT แต่ล่าสุดได้นำ TinyRCT ซึ่งเป็นแบ็กดอร์ที่ออกแบบมาเฉพาะและไม่เคยถูกบันทึกไว้มาก่อนเข้ามาใช้งาน TinyRCT มีความสามารถในการรันคำสั่งตามอำเภอใจ สำรวจและดึงไฟล์ออกไป จับภาพหน้าจอของอุปกรณ์ และลบตัวเองออกจากเครื่องที่ถูกเจาะ

ในแคมเปญหนึ่งที่ตรวจพบเมื่อเดือนกันยายน 2025 กลุ่มนี้ได้เจาะเข้าหน่วยงานรัฐแห่งหนึ่งในเอเชียตะวันออกเฉียงใต้และวาง web shell เพื่อดึงข้อมูลออกจากเซิร์ฟเวอร์ MS SQL ในการโจมตีเดียวกันนั้น ผู้โจมตียังทำการสำรวจเครือข่ายของอีกหน่วยงานรัฐในประเทศเดียวกัน ซึ่ง Unit 42 ระบุว่าสะท้อนถึงความพยายามค้นหาโอกาสในการเคลื่อนตัวด้านข้าง (lateral movement) และขยายการเข้าถึง ในกรณีหนึ่งพบว่าผู้โจมตีจัดเตรียมและขโมยซอร์สโค้ดของเว็บเซิร์ฟเวอร์ออกไปทั้งไดเรกทอรีจากหน่วยงานรัฐ โดยรวมแล้ว Unit 42 ตรวจพบการเจาะระบบของอย่างน้อย 10 องค์กรในเอเชียตะวันออกเฉียงใต้ระหว่างเดือนตุลาคมถึงธันวาคม 2025

วิธีการโจมตี

ตั้งแต่กลางปี 2025 เป็นต้นมา CL-STA-1062 ได้มุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญ โดยสแกนหาช่องโหว่ในหลายองค์กรของภูมิภาค จากนั้นสร้างจุดยึดหัวหาดผ่าน ASPX web shell ที่ช่วยให้ทำการสำรวจเบื้องต้นและส่งคำขอออกจากเครือข่ายที่ติดเชื้อไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม นำไปสู่การติดตั้งเพย์โหลดเพิ่มเติม รวมถึงคอมโพเนนต์ SoftEther VPN และไฟล์บีบอัด RAR ที่บรรจุชุดเครื่องมือของกลุ่ม เช่น Yuze (พร็อกซี SOCKS5) และ VNT (VPN) โดยมักปลอมแปลงให้เป็นไฟล์รันของ VMware หรือเอเจนต์ XDR เช่น XDRAgent.exe, vmtools.exe และ vmwared.exe

การวิเคราะห์โครงสร้างพื้นฐานของแคมเปญนำไปสู่การค้นพบแบ็กดอร์ .NET ที่ไม่เคยถูกบันทึกมาก่อนชื่อ TinyRCT (ปลอมเป็น PerfWatson2.exe) ซึ่งเป็นโทรจันเข้าถึงระยะไกลแบบเบาที่เปิดทางให้สำรวจระบบ รันคำสั่ง อัปโหลดไฟล์ จับภาพหน้าจอ ควบคุมเครื่องจากระยะไกล และลบร่องรอยของตัวเอง พร้อมหลบเลี่ยงการทำงานในสภาพแวดล้อม sandbox โดยจะสร้างช่องทางสื่อสารถาวรกับเซิร์ฟเวอร์ระยะไกล 45.32.113[.]172 ผ่าน HTTP แต่เข้ารหัสข้อมูลที่แลกเปลี่ยนด้วย AES-128 แบบ CBC mode มัลแวร์ทำงานบนโมเดล beaconing ด้วยช่วงเวลาพักเริ่มต้น 10 วินาทีระหว่างคำขอแต่ละครั้ง โดย poll คำสั่งจากเซิร์ฟเวอร์ C2 ด้วยคำขอ GET และส่งข้อมูลที่ขโมยมาผ่านคำขอ POST

สำหรับวิธีการส่ง TinyRCT จะมาในรูปไฟล์บีบอัดอันตรายชื่อ chrome_setup.zip ที่บรรจุไฟล์รันที่ถูกต้องตามกฎหมาย (chrome_setup.exe), ไฟล์ตั้งค่า (chrome_setup.exe.config) และ DLL ปลอม (MyAppDomainManager.dll) ซึ่งถูกใช้กระตุ้นการโจมตีแบบ AppDomainManager injection เพื่อโหลด DLL อันตรายที่ทำหน้าที่เป็นตัวดาวน์โหลด โดยติดต่อไปยัง 139.180.134[.]221 เพื่อดึงไฟล์ PerfWatson2.exe มาทำงาน

ผลกระทบต่อไทย

แคมเปญนี้มุ่งเป้าโดยตรงที่หน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ ซึ่งประเทศไทยเป็นส่วนหนึ่งของภูมิภาคนี้และมีรัฐวิสาหกิจด้านพลังงานและหน่วยงานภาครัฐที่อาจตกเป็นเป้าหมายลักษณะเดียวกัน การที่กลุ่ม CL-STA-1062 เน้นภาคพลังงานและภาครัฐ ใช้ web shell เป็นจุดตั้งต้น แล้วเคลื่อนตัวด้านข้างเพื่อขโมยซอร์สโค้ดและข้อมูลละเอียดอ่อน ทำให้หน่วยงานไทยที่มีระบบเว็บแอปพลิเคชันเปิดสู่อินเทอร์เน็ตและฐานข้อมูล MS SQL มีความเสี่ยงสูง องค์กรควรเฝ้าระวังไฟล์ที่ปลอมเป็นเครื่องมือ VMware หรือ XDR และตรวจสอบการเชื่อมต่อ HTTP ออกไปยัง IP ต้องสงสัยที่ระบุไว้

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบและบล็อกการเชื่อมต่อไปยัง IP 45.32.113[.]172 และ 139.180.134[.]221 รวมถึงเฝ้าระวังไฟล์รันที่ตั้งชื่อปลอมเป็นเครื่องมือระบบ เช่น PerfWatson2.exe, XDRAgent.exe, vmtools.exe, vmwared.exe และไฟล์ chrome_setup.zip/MyAppDomainManager.dll ควรตรวจหา web shell ทั้งแบบ ASPX และที่ฝังในเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ต ปิดช่องโหว่ของเว็บแอปพลิเคชันที่อาจถูกใช้เป็นจุดเข้า เฝ้าระวังพฤติกรรม beaconing แบบ HTTP ที่มีช่วงเวลาคงที่ และจำกัดสิทธิ์การเข้าถึงเซิร์ฟเวอร์ MS SQL พร้อมเปิดใช้การตรวจจับการเคลื่อนตัวด้านข้างภายในเครือข่าย

Indicators of Compromise (IoCs)

หมายเหตุ: indicator ด้านล่างบางส่วน defang ไว้ (เช่น 45.32.113[.]172) เพื่อความปลอดภัย

Indicatorประเภทคำอธิบาย
45.32.113[.]172IPv4 (C2)เซิร์ฟเวอร์สั่งการและควบคุมของ TinyRCT (HTTP + AES-128 CBC)
139.180.134[.]221IPv4เซิร์ฟเวอร์ดาวน์โหลด PerfWatson2.exe
PerfWatson2.exeไฟล์TinyRCT แบ็กดอร์ .NET
chrome_setup.zipไฟล์ไฟล์บีบอัดอันตรายตัวส่ง TinyRCT
MyAppDomainManager.dllไฟล์DLL ปลอมสำหรับ AppDomainManager injection
XDRAgent.exe / vmtools.exe / vmwared.exeไฟล์ชื่อปลอมของเครื่องมือ (Yuze, VNT, SoftEther)

แหล่งอ้างอิง