สรุปสั้น
กลุ่มจารกรรมไซเบอร์ Mustang Panda ที่รัฐบาลจีนหนุนหลัง กำลังรันสองแคมเปญพร้อมกันเพื่อโจมตีหน่วยงานรัฐบาลอินเดียและเป้าหมายด้านพลังงานน้ำ (hydropower) โดยใช้มัลแวร์ตัวใหม่และเปลี่ยนบริการคลาวด์ที่ถูกต้องตามกฎหมายให้กลายเป็นช่องทางสั่งการ (command channel) บริษัท Acronis Threat Research Unit ตรวจพบการบุกรุกที่ยังดำเนินอยู่ภายในเครือข่ายของรัฐบาลอินเดีย รวมถึงเครื่องที่ใช้โดยเจ้าหน้าที่ฝ่ายบริหารระดับสูง และได้ทำงานร่วมกับ CERT-In ในการแจ้งเตือนและกวาดล้าง มัลแวร์ดังกล่าวใช้ประโยชน์จาก Zoho WorkDrive ซึ่งเป็นแพลตฟอร์มจัดเก็บข้อมูลบนคลาวด์ที่นิยมใช้ในภาคราชการของอินเดีย เพื่อรับส่งคำสั่งและขโมยข้อมูลออกไป แนวคิดทั้งหมดคือการทำให้ทราฟฟิกดูเหมือนกิจกรรมคลาวด์ทั่วไป จึงซ่อนตัวอยู่ภายในเครือข่ายที่กำลังถูกขโมยข้อมูล Acronis ระบุชื่อเครื่องมือใหม่ 3 ตัว และเชื่อว่าทั้งสองแคมเปญถูกส่งผ่านการโจมตีแบบ spear-phishing โดยมีล่อ (lure) ที่ออกแบบให้เข้ากับเป้าหมาย Acronis ระบุว่าการโจมตีนี้เป็นฝีมือของ Mustang Panda ด้วยความมั่นใจสูง
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 29 มิถุนายน 2569 ว่า บริษัท Acronis Threat Research Unit พบว่ากลุ่ม Mustang Panda ซึ่งเป็นกลุ่มจารกรรมที่เชื่อมโยงกับจีน กำลังโจมตีหน่วยงานรัฐและเป้าหมายด้านพลังงานน้ำของอินเดีย โดยพบการบุกรุกที่ยังดำเนินอยู่ในเครือข่ายรัฐบาลอินเดีย รวมถึงเครื่องที่ใช้งานโดยเจ้าหน้าที่ฝ่ายบริหารระดับสูง
Acronis ระบุชื่อเครื่องมือใหม่ 3 ตัว ตัวแรกคือ SHARDLOADER ซึ่งเป็น loader ที่ทำงานด้วยการ sideload ไฟล์ DLL ที่เป็นอันตรายผ่านไบนารีที่มีลายเซ็นถูกต้อง โดยแคมเปญหนึ่งใช้ไฟล์ executable ของ Solid PDF Creator และอีกแคมเปญใช้ไบนารีของ Citrix Receiver จากนั้นจะติดตั้งหนึ่งในสอง implant ตัวที่สองคือ MINIRECON ซึ่งเป็นเวอร์ชันที่ปรับปรุงจาก backdoor ชื่อ Toneshell ที่ IBM X-Force เคยบันทึกไว้ ปัจจุบันสื่อสารผ่านการเชื่อมต่อ WebSocket บน HTTPS และตัวที่สามคือ ZOHOMURK ซึ่งเป็นชิ้นส่วนใหม่ที่โดดเด่นที่สุด มันฝัง credential OAuth ของ Zoho ไว้ในตัว แล้วใช้เพื่อสั่งงานบัญชี WorkDrive ที่ผู้โจมตีควบคุมให้เป็นจุดรับส่งข้อมูล (dead drop) โดยอ่านคำสั่งจากโฟลเดอร์ inbox และเขียนข้อมูลที่ขโมยมาไว้ในโฟลเดอร์ outbox
ทั้งสองแคมเปญมาในรูปแบบไฟล์บีบอัด ZIP ที่มีไฟล์ DLL อันตรายซ่อนไว้ (marked hidden) Acronis เชื่อว่าถูกส่งผ่านการโจมตีแบบ spear-phishing โดยล่อถูกออกแบบให้เข้ากับเป้าหมาย แคมเปญหนึ่งใช้ธีมข้อเสนอความร่วมมือด้านพลังงานน้ำ ส่วนอีกแคมเปญใช้ธีมบันทึกความเข้าใจ (MOU) ระหว่างสถาบันของอินเดียและไต้หวัน ตามที่ Acronis ระบุ เป้าหมายคือข่าวกรองเกี่ยวกับแผนพลังงานน้ำของอินเดียและความสัมพันธ์ด้านกลาโหมกับไต้หวัน
วิธีการโจมตี
Acronis ระบุว่าการโจมตีนี้เป็นฝีมือของ Mustang Panda ด้วยความมั่นใจสูง โดยอาศัยหลักฐานหลายอย่าง ได้แก่ ห่วงโซ่การ sideload ผ่าน Solid PDF Creator ที่ถูกนำกลับมาใช้ซ้ำ ความซ้อนทับของโค้ดกับ Toneshell เซิร์ฟเวอร์สั่งการที่อยู่ในบล็อกเครือข่ายเดียวกับโครงสร้างพื้นฐานที่ IBM X-Force เคยเชื่อมโยงกับกลุ่มนี้ และข้อผิดพลาดการพิมพ์ที่เกิดซ้ำคือคำว่า “RunOnece” ซึ่งปรากฏใน implant หลายตัว
ความปลอดภัยเชิงปฏิบัติการ (OPSEC) ของกลุ่มค่อนข้างอ่อน ทั้ง token ที่ฝังไว้ในโค้ด ตัวระบุที่เป็นข้อความธรรมดา (plaintext) และการใช้โครงสร้างพื้นฐานซ้ำ ล้วนช่วยให้นักวิเคราะห์ระบุตัวได้ การ beaconing ที่ยังทำงานอยู่ดำเนินไประหว่างวันที่ 12 ถึง 22 มิถุนายน 2026 การโจมตีครั้งนี้เป็นการสานต่อความพยายามอย่างต่อเนื่องที่มุ่งเป้าอินเดีย ในเดือนเมษายน Acronis เคยเชื่อมโยง backdoor ชื่อ LOTUSLITE ของกลุ่มกับการโจมตีภาคธนาคารของอินเดียและแวดวงนโยบายของเกาหลีใต้ ซึ่งก็จัดฉากผ่านบริการคลาวด์ที่ถูกต้องเช่นกัน ขณะที่ความสนใจของกลุ่มที่เชื่อมโยงกับจีนต่อภาคพลังงานของอินเดียย้อนไปไกลกว่านั้น โดยแคมเปญ RedEcho ในปี 2021 เคยโจมตีโครงข่ายไฟฟ้าของประเทศด้วยมัลแวร์ ShadowPad
ผลกระทบต่อไทย
Mustang Panda เป็นกลุ่ม APT ที่มีประวัติยาวนานในการโจมตีหน่วยงานรัฐและองค์กรในภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย โดยเฉพาะหน่วยงานราชการ กระทรวงที่เกี่ยวข้องกับนโยบายต่างประเทศ และองค์กรด้านโครงสร้างพื้นฐานสำคัญ เทคนิคที่ใช้ในแคมเปญนี้จึงเป็นภัยที่เกี่ยวข้องกับไทยโดยตรง จุดที่น่ากังวลเป็นพิเศษคือการเปลี่ยนบริการคลาวด์ที่ถูกต้องตามกฎหมายอย่าง Zoho WorkDrive ให้เป็นช่องทางสั่งการ ซึ่งทำให้ทราฟฟิกอันตรายกลมกลืนกับการใช้งานคลาวด์ปกติ ยากต่อการตรวจจับด้วยระบบรักษาความปลอดภัยที่อนุญาตทราฟฟิกไปยังบริการคลาวด์ยอดนิยม หน่วยงานรัฐและองค์กรด้านพลังงานของไทยที่มีดีลความร่วมมือข้ามพรมแดน ซึ่งอาจเป็นที่สนใจของจีน ควรเฝ้าระวังล่อที่อิงประเด็นภูมิรัฐศาสตร์และเทคนิค DLL sideloading ผ่านไบนารีที่มีลายเซ็น เป็นพิเศษ
คำแนะนำ
เนื่องจากการโจมตีนี้ไม่มีช่องโหว่ให้แพตช์ การป้องกันจึงอยู่ที่การจับการส่งมอบมัลแวร์และการใช้คลาวด์ในทางที่ผิด Acronis แนะนำให้หน่วยงานรัฐและองค์กรด้านพลังงาน โดยเฉพาะที่มีดีลข้ามพรมแดนซึ่งอาจเป็นที่สนใจของปักกิ่ง เฝ้าระวังล่อที่อิงประเด็นภูมิรัฐศาสตร์และการ sideload จากไบนารีที่มีลายเซ็น รวมถึงแจ้งเตือนเมื่อพบกระบวนการ (process) ที่เรียกใช้ API คลาวด์โดยไม่มีเหตุผลอันควร ผู้ดูแลระบบควรตรวจหา persistence ผ่าน Run registry key, scheduled task ชื่อ SolidPDFPcl2Bmp, โดเมน C2 ชื่อ couldinstallup[.]com และ Zoho user agent ที่ปรากฏบนกระบวนการที่ไม่ใช่เบราว์เซอร์
Indicators of Compromise (IoCs)
หมายเหตุ: ตัวบ่งชี้บางรายการถูก defang (เช่น
couldinstallup[.]com) เพื่อความปลอดภัย ก่อนใช้งานในระบบตรวจจับต้องแปลงกลับเป็นรูปแบบปกติ
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| Domain (C2) | couldinstallup[.]com | เซิร์ฟเวอร์สั่งการของมัลแวร์ |
| Scheduled Task | SolidPDFPcl2Bmp | งานตามตารางเวลาที่ใช้ฝังตัวถาวร |
| Persistence | Run registry key | คีย์รีจิสทรีที่ใช้ตั้งให้มัลแวร์ทำงานเมื่อบูต |
| Behavior | Zoho user agent บนกระบวนการที่ไม่ใช่เบราว์เซอร์ | บ่งชี้การใช้ Zoho WorkDrive เป็นช่องทาง C2 |
| Malware | SHARDLOADER | Loader ที่ทำ DLL sideloading ผ่านไบนารีที่มีลายเซ็น |
| Malware | MINIRECON | Backdoor (เวอร์ชันปรับปรุงของ Toneshell) สื่อสารผ่าน WebSocket/HTTPS |
| Malware | ZOHOMURK | Implant ที่ใช้ Zoho WorkDrive เป็น dead drop |
| Signed binary (abused) | Solid PDF Creator, Citrix Receiver | ไบนารีที่มีลายเซ็นถูกต้องซึ่งถูกใช้ sideload DLL อันตราย |
