สรุปสั้น
กลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ของรัสเซียที่ชื่อ Gamaredon ยังคงพัฒนาและขยายคลังมัลแวร์อย่างต่อเนื่อง ในฐานะส่วนหนึ่งของการโจมตีไซเบอร์ต่อยูเครนที่ดำเนินมาตลอดปี 2025 บริษัท ESET บริษัทความมั่นคงปลอดภัยไซเบอร์จากสโลวาเกีย ระบุว่าได้สังเกตเห็น 35 แคมเปญ spear-phishing ที่แตกต่างกันซึ่ง Gamaredon ปล่อยใส่เป้าหมายใหม่ ๆ โดยส่วนใหญ่เกิดขึ้นในครึ่งหลังของปี เป้าหมายหลักคือสถาบันของรัฐและกองทัพยูเครน ESET ระบุว่า “ตลอดปี 2025 Gamaredon ยังคงเคลื่อนไหวอย่างหนักและมุ่งเป้าไปที่ยูเครนเพียงอย่างเดียว เป้าหมายสูงสุดของกลุ่มยังคงเป็นการขโมยข้อมูลละเอียดอ่อนและข้อมูลสำคัญอื่น ๆ ที่อาจนำไปใช้สนับสนุนผลประโยชน์ของรัสเซียในสงครามที่ยังดำเนินอยู่ในยูเครน” จุดเด่นของปีนี้คือการเพิ่มเครื่องมือ PowerShell อันตรายใหม่ถึง 6 ตัว และการพึ่งพาบริการของบุคคลที่สาม เช่น tunnel service และแพลตฟอร์ม serverless worker มากขึ้นอย่างมีนัยสำคัญ เพื่อใช้ซ่อนโครงสร้างพื้นฐานเบื้องหลังตัวจริง ทำให้ปฏิบัติการมีความยืดหยุ่นและยากต่อการขัดขวางมากขึ้น
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 29 มิถุนายน 2569 ว่าบริษัท ESET ได้เปิดเผยรายงานสรุปกิจกรรมของกลุ่ม Gamaredon ตลอดปี 2025 โดยพบ 35 แคมเปญ spear-phishing ที่มุ่งเป้าหน่วยงานรัฐและทหารยูเครนเป็นหลัก
แคมเปญ spear-phishing เหล่านี้ใช้ไฟล์แนบแบบ archive หรือไฟล์ XHTML ที่ใช้เทคนิค HTML smuggling เพื่อส่ง HTA downloader อันตราย ซึ่งทำหน้าที่ปล่อย payload เพิ่มเติม เช่น PteroSand บางการโจมตียังใช้ช่องโหว่ใน WinRAR ที่ได้รับการแก้ไขแล้ว (CVE-2025-8088) เป็นอาวุธ เพื่อวาง HTA downloader ลงในโฟลเดอร์ Windows Startup ของเหยื่อ ส่งผลให้ downloader ถูกรันโดยอัตโนมัติในการล็อกอินครั้งถัดไป จึงเพิ่มกลไกการฝังตัวถาวรเข้าไปในห่วงโซ่การบุกรุก การโจมตีของ Gamaredon ยังเป็นที่รู้จักว่าพึ่งพาเครื่องมือสร้างอาวุธอย่าง PteroLNK และ PteroPaste เพื่ออำนวยความสะดวกในการเคลื่อนที่ด้านข้าง (lateral movement) ด้วยการแพร่เชื้อใส่ไดรฟ์ USB และไดรฟ์เครือข่ายด้วยไฟล์ LNK อันตราย ที่เมื่อผู้ใช้ที่ไม่ระวังเปิดขึ้นมา ก็จะกระตุ้นให้ดึงมัลแวร์ downloader ลงมา
นอกจากนี้ยังมีการใช้ PteroSetup ซึ่งเป็นเครื่องมือสร้างอาวุธแบบ VBScript รุ่นเก่าที่ตรวจพบครั้งแรกในเดือนมกราคม 2021 และเคยถูกคาดว่าเลิกใช้ไปแล้ว โดยเครื่องมือนี้จะสแกนไดรฟ์ USB และไดรฟ์เครือข่ายที่ map ไว้เพื่อหาไฟล์ติดตั้งที่ถูกต้อง และหากพบ ก็จะแทนที่ด้วยไฟล์ 7z self-extracting (SFX) ที่บรรจุทั้งตัวติดตั้งจริงและ VBScript downloader อันตราย
วิธีการโจมตี
ในปี 2025 การพึ่งพาบริการของบุคคลที่สามของกลุ่มเติบโตขึ้นอย่างมาก โดย ESET ระบุว่า tunnel service และแพลตฟอร์ม serverless worker กลายเป็นส่วนสำคัญที่เพิ่มขึ้นในการซ่อนโครงสร้างพื้นฐานเบื้องหลังตัวจริง การโจมตียังมีลักษณะเด่นที่การเพิ่มเครื่องมือ PowerShell อันตรายใหม่ 6 ตัว ได้แก่ PteroDee และ PteroCache สำหรับดึงและรัน PowerShell payload ในหน่วยความจำ, PteroDum สำหรับดึงและรัน VBScript payload ในหน่วยความจำ, PteroOdd สำหรับดึงเซิร์ฟเวอร์ C2 ผ่าน Telegra.ph API ซึ่งน่าจะใช้ในแคมเปญที่ Gamaredon ร่วมมือกับกลุ่ม Turla, PteroEffigy สำหรับดึงเซิร์ฟเวอร์ C2 ผ่านบริการจัดเก็บข้อมูลคลาวด์ GoFile และ PteroPaste สำหรับสร้างอาวุธบนไดรฟ์ USB และดาวน์โหลด PowerShell payload เพิ่มเติมผ่านช่องทางที่เข้ารหัส
นาย Zoltán Rusnák นักวิจัยของ ESET ระบุว่า แม้กลุ่มจะหยุดปฏิบัติการช่วงสั้น ๆ ในเดือนมกราคม 2025 แต่ Gamaredon ก็ทุ่มเทเวลาส่วนใหญ่ในครึ่งปีแรกไปกับการพัฒนาและติดตั้งเครื่องมือใหม่ การอัปเดตจำนวนมากเกิดขึ้นในช่วงก่อนวันหยุดสำคัญของรัสเซียและไครเมีย และที่น่าสังเกตคือไม่พบการอัปเดตระหว่างหรือทันทีหลังวันหยุดเหล่านี้ ซึ่งบ่งชี้เพิ่มเติมว่าผู้ปฏิบัติการของ Gamaredon น่าจะเป็นพนักงานที่เกี่ยวข้องกับรัฐบาล อีกแง่มุมที่น่าสนใจคือการใช้บริการที่ถูกต้องตามกฎหมายหลากหลายเป็นช่องทางขโมยข้อมูลและเป็น dead drop resolver เพื่อรับรายละเอียดเซิร์ฟเวอร์ C2 ได้แก่ Telegra.ph, Teletype, Rentry.co, Write.as, Dropbox, GoFile, DEV Community (dev.to), Mastodon, Lesma, Nopaste.net, Paste.ee, Wasabi, Tebi และ Intercolo ESET สรุปว่ากลุ่มชดเชยความเรียบง่ายของมัลแวร์ด้วยความต่อเนื่อง การอัปเดตบ่อยครั้ง และการใช้บริการออนไลน์ที่ถูกต้องตามกฎหมายในทางที่ผิดอย่างสร้างสรรค์มากขึ้น
ผลกระทบต่อไทย
แม้ Gamaredon จะมุ่งเป้าเฉพาะยูเครน แต่เทคนิคที่กลุ่มใช้เป็นบทเรียนสำคัญสำหรับองค์กรไทย โดยเฉพาะการใช้ช่องโหว่ WinRAR (CVE-2025-8088) ซึ่งเป็นซอฟต์แวร์บีบอัดยอดนิยมที่ผู้ใช้ไทยจำนวนมากติดตั้ง และมักไม่ได้อัปเดตเป็นเวอร์ชันล่าสุด การใช้ HTML smuggling ผ่านไฟล์แนบ และการแพร่เชื้อผ่านไดรฟ์ USB และไดรฟ์เครือข่าย ล้วนเป็นเทคนิคที่กลุ่มภัยคุกคามอื่น ๆ นำไปใช้ซ้ำได้ จุดที่ควรจับตาเป็นพิเศษคือการใช้บริการคลาวด์และแพลตฟอร์มที่ถูกต้องตามกฎหมาย เช่น Dropbox, Telegram และ Mastodon เป็นช่องทาง C2 ซึ่งทำให้ทราฟฟิกอันตรายกลมกลืนกับการใช้งานปกติ ยากต่อการตรวจจับด้วยระบบที่อนุญาตบริการเหล่านี้ องค์กรไทยจึงควรอัปเดต WinRAR เฝ้าระวังการเรียกใช้บริการคลาวด์จากกระบวนการที่ผิดปกติ และจำกัดการรันไฟล์จากไดรฟ์ที่ถอดได้
คำแนะนำ
ผู้ดูแลระบบและองค์กรควรอัปเดต WinRAR เป็นเวอร์ชันที่แก้ไข CVE-2025-8088 แล้วโดยด่วน เฝ้าระวังไฟล์แนบประเภท archive และ XHTML ที่อาจใช้ HTML smuggling ตรวจสอบโฟลเดอร์ Windows Startup เพื่อหา HTA downloader ที่น่าสงสัย จำกัดและตรวจสอบการรันไฟล์ LNK และไฟล์ติดตั้งจากไดรฟ์ USB และไดรฟ์เครือข่าย เฝ้าระวังกระบวนการที่เรียกใช้บริการคลาวด์และ paste site ที่ถูกต้องตามกฎหมาย (เช่น Telegra.ph, Dropbox, GoFile, Mastodon) โดยไม่มีเหตุผลทางธุรกิจ และนำ indicator of compromise ที่ ESET เผยแพร่ไปใช้ในระบบตรวจจับ พร้อมฝึกอบรมพนักงานให้ระวัง spear-phishing ที่อิงประเด็นสถานการณ์ปัจจุบัน
Indicators of Compromise (IoCs)
หมายเหตุ: Indicator ทั้งหมด defang ไว้แล้ว (เช่น
evil[.]com,1.2.3[.]4) ห้ามคลิกหรือเชื่อมต่อโดยตรง — ชุด IoC จาก ESET (รายงาน Gamaredon ปี 2025)
ESET detection names
Win32/Pterodo · Win64/Pterodo · MSIL/Pterodo · DOC/TrojanDownloader.Pterodo · VBA/Pterodo · JS/Pterodo · LNK/TrojanDownloader.Pterodo · PowerShell/Pterodo · VBS/Pterodo · Win32/TrojanDownloader.Pterodo
Sample Hashes (SHA-1)
| SHA-1 | Detection | รายละเอียด |
|---|---|---|
| 41BDC7545EE8A7E37714AE6C4F69F95C846FCB38 | PowerShell/Pterodo.SV | PteroBox รุ่น rclone |
| 76EC9B898E3FED239AF3895D9F3225EFB1273DCC | PowerShell/Pterodo.WY | PteroBox รุ่น API |
| 606C2692E409E40E6D563458FDF71FAA9EA22557 | VBS/Pterodo.COC | PteroCache — ดาวน์โหลด PowerShell payload |
| 569265C1BDE1D738963DD027BEB24AE0DC864F7F | VBS/Pterodo.CAQ | PteroDee — ดาวน์โหลด PowerShell payload |
| 584685A6AA84192302DF27C35E492B2846C06DD6 | PowerShell/Pterodo.VP | PteroDum — ดาวน์โหลด VBScript payload |
| 8CB65FE85C25CE521139990689AC989B44A0A230 | PowerShell/Pterodo.UE | PteroEffigy — ดาวน์โหลด PowerShell payload |
| 42DB9DE2017F66ED3AF88E7B1094891627B3C706 | PowerShell/Pterodo.QB | PteroOdd — ดึง C2 ผ่าน Telegra.ph API |
| 61B03FF9D84EB653F9F66867DBF76DFB1E130E93 | PowerShell/Pterodo.WY | PteroPaste — downloader + ตัวสร้างอาวุธ USB |
| 256DE94FDBF675E3CCB1ADC42AB74771B5381B3F | VBS/Pterodo.CEB | PteroGram — ขโมยข้อมูล Telegram Desktop |
| B66B2FB1A71A7E8CAF3B9A90DD84A2A3619F5CC5 | PowerShell/Pterodo.WK | PteroSteal — ขโมย credential (รุ่น PowerShell) |
| ED5BA0EF9E2413F1CD29464209F7B5E347810299 | PowerShell/Pterodo.PK | PteroLNK — ตัวสร้างอาวุธ USB (รุ่น PowerShell) |
| B13B5B1186B5AC0558E692E72990ECEB810BDA47 | VBS/Pterodo.CLR | PteroLNK — ตัวสร้างอาวุธ USB/network drive (รุ่น VBScript) |
| F045E11EEA6AF11867380141C1E1888F433B5342 | PowerShell/Pterodo.WO | PteroPSDoor version 1000 |
| 09A22856890AB6AEF6311CA2BD27BE54E86DA75C | PowerShell/Pterodo.QD | PteroPSLoad — PowerShell downloader |
| 7947737949CC3D273DFE8DBD9F70701A25ED05B8 | VBS/Pterodo.CME | PteroVDoor version 2000 |
| 7976F1E6B079008E56AE35F1AFC6336D12CBA8E1 | VBS/Pterodo.BOU | PteroX — VBScript downloader อเนกประสงค์ |
Network IoCs — Domains
| Domain | First seen |
|---|---|
| wwpeeya.ignores.workers[.]dev | 2025-11-20 |
| szrtrboyre.fewwef.workers[.]dev | 2025-12-29 |
| srkwk.3742eddi.workers[.]dev | 2025-08-11 |
| jvyuwatt.ssuworker.workers[.]dev | 2025-12-29 |
| stake.ytmrj83283.workers[.]dev | 2026-01-01 |
| wage.zpwyi71185.workers[.]dev | 2025-12-30 |
| d16ss6sn-80.euw.devtunnels[.]ms | 2025-08-11 |
| ch47f6gl-80.euw.devtunnels[.]ms | 2025-12-30 |
| 7tnzsgp4-80.use.devtunnels[.]ms | 2025-12-31 |
| x3f2q1cd-80.asse.devtunnels[.]ms | 2025-12-29 |
| x8b9b7q2-80.euw.devtunnels[.]ms | 2025-12-23 |
| 4273twd6-80.euw.devtunnels[.]ms | 2025-12-30 |
| ser-uk-defines-involved.trycloudflare[.]com | 2025-08-11 |
| cheese-metals-gourmet-interviews.trycloudflare[.]com | 2026-01-01 |
| parameter-iron-turns-combinations.trycloudflare[.]com | 2025-12-30 |
| alfred-assumptions-asin-winston.trycloudflare[.]com | 2025-02-18 |
| your-combination-percent-gibson.trycloudflare[.]com | 2025-12-31 |
| innocent-fares-supposed-loved.trycloudflare[.]com | 2025-12-29 |
| graph-proved-physicians-ward.trycloudflare[.]com | 2025-12-23 |
| finally-election-audience-dont.trycloudflare[.]com | 2025-12-30 |
| 8b82933574e0112129f7062a41689f7a.loophole[.]site | 2025-08-11 |
| 99a23d4d4f0c9ca8e8bac7d30a02442d.loophole[.]site | 2025-12-23 |
| litanq[.]ru | 2025-03-13 |
| estaca[.]ru | 2026-01-01 |
| earlysilence[.]ru | 2026-01-01 |
| zalupka[.]net | 2025-12-29 |
| veryinappropriate[.]ru | 2026-01-01 |
| holdmyspice[.]ru | 2025-03-23 |
| maybefallout[.]ru | 2025-12-30 |
| maybefallout[.]online | 2025-12-30 |
| lettinggo[.]ru | 2025-12-30 |
| dushun[.]ru | 2025-03-03 |
Network IoCs — IP Addresses
| IP | Hosting provider | First seen |
|---|---|---|
| 69.67.173[.]214 | BL Networks | 2026-01-01 |
| 167.88.164[.]202 | RouterHosting LLC | 2025-03-03 |
| 172.235.166[.]243 | Linode | 2025-03-23 |
