สรุปสั้น

กลุ่มแฮ็กเกอร์ที่ต้องสงสัยว่าเชื่อมโยงกับจีนถูกจับตาว่ากำลังเล็งเป้าโจมตีผู้เสียภาษี ที่ปรึกษาด้านภาษี และทีมการเงินขององค์กรในอินเดีย เพื่อปล่อยโทรจันควบคุมระยะไกล (Remote Access Trojan) ที่ออกแบบมาขโมยข้อมูลอ่อนไหวจากเครื่องที่ถูกเจาะ ปฏิบัติการหลายขั้นตอนนี้ถูกตั้งชื่อว่า Operation DragonReturn โดยบริษัท Seqrite Labs ซึ่งอาศัยการส่งอีเมลฟิชชิงแบบเจาะจงเป้าหมาย (spear-phishing) ปลอมเป็นกรมสรรพากรของอินเดีย และถูกตรวจพบครั้งแรกเมื่อวันที่ 18 พฤษภาคม 2026 ซึ่งตรงกับช่วงฤดูยื่นภาษีเงินได้ประจำปีของประเทศพอดี บรรดานักวิจัยความปลอดภัยระบุว่าแคมเปญนี้ไม่ใช่การโจมตีแบบสุ่ม แต่ความแม่นยำของเอกสารล่อ การอ้างอิงข้อกฎหมายจริง เนื้อหาสองภาษา และการหมุนเวียนเปลี่ยนเพย์โหลดอยู่ตลอด ล้วนบ่งชี้ว่าเป็นปฏิบัติการที่จงใจ มีทรัพยากรหนุนหลัง และดำเนินต่อเนื่อง โดยพุ่งเป้าเฉพาะระบบนิเวศผู้เสียภาษีของอินเดียเท่านั้น

เป้าหมายปลายทางของแคมเปญคือการติดตั้งมัลแวร์เพื่อผลประโยชน์ทางการเงินหรือขโมยข้อมูลอ่อนไหว โดยเมื่อเหยื่อหลงกลติดตั้งโปรแกรมยื่นภาษีปลอม เครื่องจะถูก sideload DLL อันตรายที่ฝังเพย์โหลดชั้นต่อไปเข้าไปในหน่วยความจำ ก่อนดาวน์โหลด DcRAT มาลงเครื่องเพื่อเปิดช่องให้ผู้โจมตีขโมยข้อมูลลับได้อย่างต่อเนื่อง การวิเคราะห์โครงสร้างพื้นฐานพบว่าใช้ IP ในเครือ ChinaNet และแผงควบคุมภาษาจีน อีกทั้งยังพบร่องรอยทับซ้อนทั้งด้านโครงสร้างและยุทธวิธีกับกลุ่ม Silver Fox กลุ่มอาชญากรไซเบอร์จีนที่เคยก่อเหตุฟิชชิงธีมภาษีมาก่อน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Seqrite Labs ได้เปิดโปงปฏิบัติการชื่อ Operation DragonReturn ที่ต้องสงสัยว่าเป็นฝีมือของกลุ่มภัยคุกคามที่เชื่อมโยงกับจีน ห่วงโซ่การโจมตีเริ่มต้นด้วยข้อความฟิชชิงที่แอบอ้างเป็นกรมสรรพากรอินเดีย ใช้เรื่องการทำผิดกฎหมายภาษีและค่าปรับเป็นตัวล่อเพื่อสร้างความรู้สึกเร่งด่วนจอมปลอม หลอกให้ผู้ใช้คลิกลิงก์อันตราย (“govtop[.]one/incometax”) ที่ฝังอยู่ในไฟล์แนบ PDF

หน้าเว็บปลายทางปลอมจะสั่งให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ที่มีสิ่งที่ดูเหมือนเป็นโปรแกรม offline utility ทั่วไปที่กรมสรรพากรจัดให้ไว้ยื่นแบบภาษี แต่ในความเป็นจริงถูกออกแบบมาให้ sideload ไฟล์ DLL อันตราย (“nvdaHelperRemote.dll”) ซึ่งจะฉีดเพย์โหลดอีกตัวเข้าไปในหน่วยความจำ เพย์โหลดนี้จะตรวจสอบให้แน่ใจว่ากำลังทำงานด้วยสิทธิ์ผู้ดูแลระบบ และหากยังไม่ได้สิทธิ์ ก็จะแสดงหน้าต่าง User Account Control (UAC) เพื่อหลอกให้ผู้ใช้เปิดด้วยสิทธิ์ยกระดับ เมื่อเริ่มทำงานแล้ว มัลแวร์จะตรวจสอบเพื่อหลีกเลี่ยงการรันในสภาพแวดล้อมวิเคราะห์และแซนด์บ็อกซ์ ก่อนดึงไฟล์ภาพ JPG (“lllyd.jpg”) จากเซิร์ฟเวอร์ที่ฝังไว้ตายตัว (“204.194.48[.]250”) แล้วเก็บไว้เป็น “C:\Windows\background.jpg”

รายละเอียดวิธีการโจมตี

ไฟล์ภาพดังกล่าวถูกใช้เป็นภาชนะซ่อนเพย์โหลดชั้นที่สอง โดย Seqrite Labs อธิบายว่า จากไฟล์ภาพนี้จะมีการแยกไฟล์ DLL ขนาด 504 KB ออกมาแล้วเขียนลงที่ “C:\Program Files\Windows Media Player\nvdaHelperRemote.dll” หลังจากนั้นมัลแวร์จะคัดลอกตัวเองเป็น “Mixed Reality.exe” และสร้างความคงทน (persistence) ด้วยการสร้าง Windows service ชื่อ MixedSvc ที่ตั้งค่าให้เริ่มทำงานอัตโนมัติทุกครั้งที่บูตเครื่อง พฤติกรรมนี้ยืนยันว่าตัวอย่างมัลแวร์ทำหน้าที่เป็นทั้ง downloader และ installer โดยใช้เทคนิคซ่อนเพย์โหลดในภาพและฝัง Windows service เพื่อคงการเข้าถึงระบบที่ติดมัลแวร์ในระยะยาว

ไฟล์ “Mixed Reality.exe” มีหน้าที่ปล่อยเพย์โหลดสองตัวที่แตกต่างกัน ตัวหนึ่งคือ .NET malware loader ที่ทำการตรวจสอบต้านการวิเคราะห์ (anti-analysis) สร้างความคงทน ปิดการสแกน Windows AMSI แล้วถอดรหัสและโหลด DcRAT ลงบนเครื่องที่ติดมัลแวร์ ส่วนเพย์โหลดตัวที่สองมีความสามารถในการจับภาพหน้าจอและส่งข้อมูลออกไปยังเซิร์ฟเวอร์ระยะไกล (“kkxqbh[.]top”)

ยังไม่ชัดเจนว่าใครอยู่เบื้องหลังกิจกรรมนี้ แต่การวิเคราะห์โครงสร้างพื้นฐานบ่งชี้ว่ามีการใช้ IP address ที่เป็นของ ChinaNet รวมถึงแผงควบคุมเว็บภาษาจีนที่เปิดโล่งอยู่บนเซิร์ฟเวอร์สั่งการและควบคุม (C2) ของ DcRAT (“223.26.63[.]40”) นอกจากนี้ Seqrite ยังระบุว่าพบการทับซ้อนของโครงสร้างพื้นฐานและยุทธวิธีกับกลุ่ม Silver Fox ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ของจีนที่เคยถูกระบุว่าอยู่เบื้องหลังแคมเปญฟิชชิงธีมภาษีที่ปล่อย ValleyRAT มาก่อน จากความคล้ายคลึงเหล่านี้ ทำให้สันนิษฐานว่าแคมเปญนี้เป็นฝีมือของผู้ก่อภัยคุกคามที่เข้าข้างจีน โดยมีเป้าหมายเพื่อสร้างช่องทางเข้าถึงแบบลับเพื่อการเก็บข่าวกรอง ขโมยข้อมูลรับรอง และดูดข้อมูลออกอย่างเป็นระบบ

การเปิดเผยนี้เกิดขึ้นในช่วงเดียวกับที่บริษัท LevelBlue ตรวจพบสองแคมเปญที่ใช้ตัวติดตั้งปลอมของ LINE และอีเมลฟิชชิงธีมปรับเงินเดือน เพื่อกระจาย ValleyRAT ไปยังผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น โดยห่วงโซ่การโจมตีแบบตัวติดตั้งปลอมใช้เทคนิค PoolParty Variant 7 ฉีด shellcode เข้า “explorer.exe” ซึ่งเคยพบเชื่อมโยงกับ malware loader ที่ชื่อ SADBRIDGE และ Quasar RAT เวอร์ชันเขียนใหม่ด้วย Golang ที่ชื่อ GOSAR โดยบริษัท Elastic Security Labs เคยระบุว่าเป็นฝีมือของกลุ่ม REF3864 ที่โจมตีภูมิภาคผู้ใช้ภาษาจีนด้วยตัวติดตั้งปลอมของ Telegram และ Opera

ผลกระทบต่อไทย

แม้แคมเปญ DragonReturn จะพุ่งเป้าเฉพาะระบบนิเวศผู้เสียภาษีของอินเดีย แต่รูปแบบการโจมตีถือเป็นสัญญาณเตือนที่สำคัญสำหรับประเทศไทย เพราะเทคนิคหลักคือการปลอมเป็นหน่วยงานราชการที่ประชาชนต้องติดต่อตามฤดูกาล ซึ่งประเทศไทยมีบริบทคล้ายกันมาก โดยเฉพาะช่วงยื่นภาษีเงินได้บุคคลธรรมดาผ่านระบบของกรมสรรพากร มิจฉาชีพสามารถลอกเลียนรูปแบบเดียวกัน คือปลอมอีเมลหรือ SMS อ้างชื่อกรมสรรพากร หลอกเรื่องค่าปรับหรือเงินคืนภาษี แล้วให้ดาวน์โหลด “โปรแกรมยื่นภาษี” ปลอมที่แฝงมัลแวร์ นอกจากนี้เทคนิคซ่อนเพย์โหลดในไฟล์ภาพ การหลบแซนด์บ็อกซ์ และการปิด AMSI ทำให้ระบบป้องกันปลายทางทั่วไปตรวจจับได้ยาก องค์กรและหน่วยงานภาครัฐไทยที่มีทีมการเงินและบัญชีจึงควรตื่นตัวต่อภัยนี้เป็นพิเศษ เพราะกลุ่มเป้าหมายหลักคือทีมการเงินองค์กรและที่ปรึกษาด้านภาษีที่มักเปิดไฟล์เอกสารจากภายนอกเป็นประจำ

คำแนะนำ

ผู้ดูแลระบบและผู้ใช้งานควรระมัดระวังอีเมลที่อ้างเป็นกรมสรรพากรหรือหน่วยงานราชการที่ขอให้ดาวน์โหลดโปรแกรมหรือคลิกลิงก์ โดยควรเข้าใช้บริการยื่นภาษีผ่านเว็บไซต์ทางการโดยตรงเท่านั้น ไม่คลิกลิงก์จากอีเมล ควรตั้งค่าให้ระบบแจ้งเตือนเมื่อมีการสร้าง Windows service ใหม่ที่น่าสงสัย (เช่น MixedSvc) และเฝ้าระวังไฟล์ที่ถูกวางในโฟลเดอร์ผิดปกติ เช่น “Windows Media Player\nvdaHelperRemote.dll” หรือ “background.jpg” ใน C:\Windows ควรบล็อกการเชื่อมต่อไปยัง IoC ที่ระบุในรายงาน เปิดใช้งาน AMSI และตรวจสอบว่าโซลูชัน EDR ยังทำงานปกติไม่ถูกปิด ระวังไฟล์ ZIP ที่มี DLL แฝงมาพร้อม executable ที่ถูกต้อง (DLL side-loading) และให้ความรู้พนักงานฝ่ายการเงินและบัญชีเกี่ยวกับฟิชชิงธีมภาษีเป็นพิเศษในช่วงฤดูยื่นภาษี

Indicators of Compromise (IoCs)

หมายเหตุ: ตัวบ่งชี้ถูก defang (ใส่วงเล็บคั่น) เพื่อความปลอดภัย ห้ามคลิกหรือเข้าถึงโดยตรง — คัดจากรายงาน Seqrite Labs (เผยแพร่ 26 มิ.ย. 2026, พบเพย์โหลดล่าสุด detection 0/66 บน VirusTotal)

เครือข่าย (Network / C2)

ประเภทตัวบ่งชี้รายละเอียด
โดเมนgovtop[.]one/incometaxหน้าเว็บปลอมแจกไฟล์ ZIP (โครงสร้างพื้นฐานหลัก)
IP204.194.48[.]250เซิร์ฟเวอร์แจกไฟล์ภาพ payload (lllyd.jpg)
IP118.107.0[.]197โครงสร้างพื้นฐานแคมเปญ
IP27.50.54[.]191โครงสร้างพื้นฐานแคมเปญ
IP:Port (C2)223.26.63[.]40:2671เซิร์ฟเวอร์ C2 ของ DcRAT (แผงควบคุมภาษาจีน, TLS)
โดเมน (C2)kkxqbh[.]topเซิร์ฟเวอร์รับข้อมูลที่ถูกดูดออก
โดเมน (C2)kkkkddd[.]comโดเมน C2 เพิ่มเติม

โฮสต์ (Host-based)

ประเภทตัวบ่งชี้รายละเอียด
ไฟล์nvdaHelperRemote.dllDLL อันตรายที่ถูก sideload (504 KB)
ไฟล์Mixed Reality.exedownloader/installer คัดลอกตัวเอง
ไฟล์background.jpgไฟล์ภาพซ่อนเพย์โหลด (steganography) ใน C:\Windows
ServiceMixedSvc (Mixed Reality Service)Windows service สร้างความคงทน

แฮชไฟล์ (SHA-256)

#SHA-256
12f2f8f92af86fb962c30c4c1c9d673f9d94886373d0fcf78f8d105c051ffc643
21787d1119cd3b40e0e5f19d62821958b7d5c2bbe0518bf1e3fb2e44fdeb4fa58
319ca5fe04ca45a18c5bad9658ff73a8f39fe20ced78f690595f1b4c5a90af324
42f72f4b71e33c80f122dbe5360a8d687577260567d4b59cf8c07ee2182e8ceba
54a040770fd81d0db9e04cb8dbd2e07e61969072962bb4e736b7c7001444cc2fa
6696f6a1a0fbf7b4ff977cc36382f6d2bc6d7813ed84b0195d925d1f46c24568c
76c774188a54ae07ae896abdf1ea6695cc29f529388888665e05322af3e9178e1
86c9ae8a979ad18da2927ae4fdbd73d3c870ead4ea3d437656a3bdcc81b85a050
98ed95259300ca268279867d2999d9c4f6585c6c45308635fc39af87da27546b5
109e73cd733707e5f7c9091147b029a6974b985d6c90a9cc2cb47bc0ae8a0f9245
11c6fc06db6a1318152c09200352b40c8fa794f1089988835c1df92174347be8ec
12e6346e3087db2bfba4551fcf89d94ae49aa92dc22f0ec2b718187a96e3a3b83c
13fc17d5b4d64cb61a5aa8fb6bbe1e94885f129b2bf8ee91bca1ccca2b537f6616
1440593369e14c9ab7b5e2fd186a580dbcd790ebb902f3aedc12c92cd617302960
15ec5d4103b3d97885e9575ad045b2ef5467bf9fccf71828e418e6488d78983146
16133e4d3f1dcd99a35fec92ad13bafa3790b6d585f8ec46527fe0ae01da98ad22
175a00485968679dc0ed6d80b659f48287603864c223e952918d2c2aaddfa2d280
186751ad8d0aeb6ac67cd54ea42657ce1f16addc3e3111f9e60b11931ebf58e77d
197e142c8fa614cc39d0453aa648b12209821c6bcbb77ee02094f70161b40d50ae
20879cfe23a96e822f3873fd90a37d548d7975ba0552ce28527d3d1e292000c59b
21eccff5c026a01cbe91db45cd0289f8822985aa5183f096d8add69762696d100d
22fdd9752f4bb03762828e2e2bb6ec26c5f05a664dc28e02457685ddb3650d3e95
23a8614dfad5fd2a79302a7c4829a0fed6f3a0a46b11beb28f89531cdfa83d32b3
2403d2b73ecde0575a1e5ea24d6e4f12987cc081c0bc22dadf8c4219e8e38ca6e0
25589aa1f7252cae74538343cd35443c0a8f58ed280f2016918b6e539a0c09529a
26590a75978ab33a97280be1e2ae62a2e416ada45a11bc3f1cb77c99f3eb542b4e
275e97f7c17bf0466355be0438c7cc3e2e4d125e31368f2fbcb8e1d79cb97f137a
288673ce317876e6c3fe868c98524a3b2ae86a79b737536b865f044a52d16a7193
29b0fcd7d9396e70b89e8292f6b80f933607b6fc9a9d3d4dd4ca69b408a2625932
30b4fb231356254426e340ab1dba50fa37a69859fc4e8a2dbdfc3e1db082006847
31c6651d6ce31c3a00357e579981d48c0da942b5bbe1582bf3d612a07dc3bc0ff6
32db946f3f2b409370d14a6e69cf029f2818985f19320fa09b63bd3268dc830b02
3334d1231a3bf1e13a9b90daecb5c74d52aea94ca54427b203d77e1adc61a5c4f9
342c0de3d5432d5a14cb03936a460ceb633b53a51881c4fa4f3dfa87fedef2148e

Seqrite Detection

Malware.Ulise, Trojan.Ulise, Trojan.Phonzy, Trojan.Ravartar, Trojandownloader.Smallao, Trojan.InjectorCiR

แหล่งอ้างอิง