สรุปสั้น
กลุ่มแฮ็กเกอร์ที่ต้องสงสัยว่าเชื่อมโยงกับจีนถูกจับตาว่ากำลังเล็งเป้าโจมตีผู้เสียภาษี ที่ปรึกษาด้านภาษี และทีมการเงินขององค์กรในอินเดีย เพื่อปล่อยโทรจันควบคุมระยะไกล (Remote Access Trojan) ที่ออกแบบมาขโมยข้อมูลอ่อนไหวจากเครื่องที่ถูกเจาะ ปฏิบัติการหลายขั้นตอนนี้ถูกตั้งชื่อว่า Operation DragonReturn โดยบริษัท Seqrite Labs ซึ่งอาศัยการส่งอีเมลฟิชชิงแบบเจาะจงเป้าหมาย (spear-phishing) ปลอมเป็นกรมสรรพากรของอินเดีย และถูกตรวจพบครั้งแรกเมื่อวันที่ 18 พฤษภาคม 2026 ซึ่งตรงกับช่วงฤดูยื่นภาษีเงินได้ประจำปีของประเทศพอดี บรรดานักวิจัยความปลอดภัยระบุว่าแคมเปญนี้ไม่ใช่การโจมตีแบบสุ่ม แต่ความแม่นยำของเอกสารล่อ การอ้างอิงข้อกฎหมายจริง เนื้อหาสองภาษา และการหมุนเวียนเปลี่ยนเพย์โหลดอยู่ตลอด ล้วนบ่งชี้ว่าเป็นปฏิบัติการที่จงใจ มีทรัพยากรหนุนหลัง และดำเนินต่อเนื่อง โดยพุ่งเป้าเฉพาะระบบนิเวศผู้เสียภาษีของอินเดียเท่านั้น
เป้าหมายปลายทางของแคมเปญคือการติดตั้งมัลแวร์เพื่อผลประโยชน์ทางการเงินหรือขโมยข้อมูลอ่อนไหว โดยเมื่อเหยื่อหลงกลติดตั้งโปรแกรมยื่นภาษีปลอม เครื่องจะถูก sideload DLL อันตรายที่ฝังเพย์โหลดชั้นต่อไปเข้าไปในหน่วยความจำ ก่อนดาวน์โหลด DcRAT มาลงเครื่องเพื่อเปิดช่องให้ผู้โจมตีขโมยข้อมูลลับได้อย่างต่อเนื่อง การวิเคราะห์โครงสร้างพื้นฐานพบว่าใช้ IP ในเครือ ChinaNet และแผงควบคุมภาษาจีน อีกทั้งยังพบร่องรอยทับซ้อนทั้งด้านโครงสร้างและยุทธวิธีกับกลุ่ม Silver Fox กลุ่มอาชญากรไซเบอร์จีนที่เคยก่อเหตุฟิชชิงธีมภาษีมาก่อน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Seqrite Labs ได้เปิดโปงปฏิบัติการชื่อ Operation DragonReturn ที่ต้องสงสัยว่าเป็นฝีมือของกลุ่มภัยคุกคามที่เชื่อมโยงกับจีน ห่วงโซ่การโจมตีเริ่มต้นด้วยข้อความฟิชชิงที่แอบอ้างเป็นกรมสรรพากรอินเดีย ใช้เรื่องการทำผิดกฎหมายภาษีและค่าปรับเป็นตัวล่อเพื่อสร้างความรู้สึกเร่งด่วนจอมปลอม หลอกให้ผู้ใช้คลิกลิงก์อันตราย (“govtop[.]one/incometax”) ที่ฝังอยู่ในไฟล์แนบ PDF
หน้าเว็บปลายทางปลอมจะสั่งให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ที่มีสิ่งที่ดูเหมือนเป็นโปรแกรม offline utility ทั่วไปที่กรมสรรพากรจัดให้ไว้ยื่นแบบภาษี แต่ในความเป็นจริงถูกออกแบบมาให้ sideload ไฟล์ DLL อันตราย (“nvdaHelperRemote.dll”) ซึ่งจะฉีดเพย์โหลดอีกตัวเข้าไปในหน่วยความจำ เพย์โหลดนี้จะตรวจสอบให้แน่ใจว่ากำลังทำงานด้วยสิทธิ์ผู้ดูแลระบบ และหากยังไม่ได้สิทธิ์ ก็จะแสดงหน้าต่าง User Account Control (UAC) เพื่อหลอกให้ผู้ใช้เปิดด้วยสิทธิ์ยกระดับ เมื่อเริ่มทำงานแล้ว มัลแวร์จะตรวจสอบเพื่อหลีกเลี่ยงการรันในสภาพแวดล้อมวิเคราะห์และแซนด์บ็อกซ์ ก่อนดึงไฟล์ภาพ JPG (“lllyd.jpg”) จากเซิร์ฟเวอร์ที่ฝังไว้ตายตัว (“204.194.48[.]250”) แล้วเก็บไว้เป็น “C:\Windows\background.jpg”
รายละเอียดวิธีการโจมตี
ไฟล์ภาพดังกล่าวถูกใช้เป็นภาชนะซ่อนเพย์โหลดชั้นที่สอง โดย Seqrite Labs อธิบายว่า จากไฟล์ภาพนี้จะมีการแยกไฟล์ DLL ขนาด 504 KB ออกมาแล้วเขียนลงที่ “C:\Program Files\Windows Media Player\nvdaHelperRemote.dll” หลังจากนั้นมัลแวร์จะคัดลอกตัวเองเป็น “Mixed Reality.exe” และสร้างความคงทน (persistence) ด้วยการสร้าง Windows service ชื่อ MixedSvc ที่ตั้งค่าให้เริ่มทำงานอัตโนมัติทุกครั้งที่บูตเครื่อง พฤติกรรมนี้ยืนยันว่าตัวอย่างมัลแวร์ทำหน้าที่เป็นทั้ง downloader และ installer โดยใช้เทคนิคซ่อนเพย์โหลดในภาพและฝัง Windows service เพื่อคงการเข้าถึงระบบที่ติดมัลแวร์ในระยะยาว
ไฟล์ “Mixed Reality.exe” มีหน้าที่ปล่อยเพย์โหลดสองตัวที่แตกต่างกัน ตัวหนึ่งคือ .NET malware loader ที่ทำการตรวจสอบต้านการวิเคราะห์ (anti-analysis) สร้างความคงทน ปิดการสแกน Windows AMSI แล้วถอดรหัสและโหลด DcRAT ลงบนเครื่องที่ติดมัลแวร์ ส่วนเพย์โหลดตัวที่สองมีความสามารถในการจับภาพหน้าจอและส่งข้อมูลออกไปยังเซิร์ฟเวอร์ระยะไกล (“kkxqbh[.]top”)
ยังไม่ชัดเจนว่าใครอยู่เบื้องหลังกิจกรรมนี้ แต่การวิเคราะห์โครงสร้างพื้นฐานบ่งชี้ว่ามีการใช้ IP address ที่เป็นของ ChinaNet รวมถึงแผงควบคุมเว็บภาษาจีนที่เปิดโล่งอยู่บนเซิร์ฟเวอร์สั่งการและควบคุม (C2) ของ DcRAT (“223.26.63[.]40”) นอกจากนี้ Seqrite ยังระบุว่าพบการทับซ้อนของโครงสร้างพื้นฐานและยุทธวิธีกับกลุ่ม Silver Fox ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ของจีนที่เคยถูกระบุว่าอยู่เบื้องหลังแคมเปญฟิชชิงธีมภาษีที่ปล่อย ValleyRAT มาก่อน จากความคล้ายคลึงเหล่านี้ ทำให้สันนิษฐานว่าแคมเปญนี้เป็นฝีมือของผู้ก่อภัยคุกคามที่เข้าข้างจีน โดยมีเป้าหมายเพื่อสร้างช่องทางเข้าถึงแบบลับเพื่อการเก็บข่าวกรอง ขโมยข้อมูลรับรอง และดูดข้อมูลออกอย่างเป็นระบบ
การเปิดเผยนี้เกิดขึ้นในช่วงเดียวกับที่บริษัท LevelBlue ตรวจพบสองแคมเปญที่ใช้ตัวติดตั้งปลอมของ LINE และอีเมลฟิชชิงธีมปรับเงินเดือน เพื่อกระจาย ValleyRAT ไปยังผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น โดยห่วงโซ่การโจมตีแบบตัวติดตั้งปลอมใช้เทคนิค PoolParty Variant 7 ฉีด shellcode เข้า “explorer.exe” ซึ่งเคยพบเชื่อมโยงกับ malware loader ที่ชื่อ SADBRIDGE และ Quasar RAT เวอร์ชันเขียนใหม่ด้วย Golang ที่ชื่อ GOSAR โดยบริษัท Elastic Security Labs เคยระบุว่าเป็นฝีมือของกลุ่ม REF3864 ที่โจมตีภูมิภาคผู้ใช้ภาษาจีนด้วยตัวติดตั้งปลอมของ Telegram และ Opera
ผลกระทบต่อไทย
แม้แคมเปญ DragonReturn จะพุ่งเป้าเฉพาะระบบนิเวศผู้เสียภาษีของอินเดีย แต่รูปแบบการโจมตีถือเป็นสัญญาณเตือนที่สำคัญสำหรับประเทศไทย เพราะเทคนิคหลักคือการปลอมเป็นหน่วยงานราชการที่ประชาชนต้องติดต่อตามฤดูกาล ซึ่งประเทศไทยมีบริบทคล้ายกันมาก โดยเฉพาะช่วงยื่นภาษีเงินได้บุคคลธรรมดาผ่านระบบของกรมสรรพากร มิจฉาชีพสามารถลอกเลียนรูปแบบเดียวกัน คือปลอมอีเมลหรือ SMS อ้างชื่อกรมสรรพากร หลอกเรื่องค่าปรับหรือเงินคืนภาษี แล้วให้ดาวน์โหลด “โปรแกรมยื่นภาษี” ปลอมที่แฝงมัลแวร์ นอกจากนี้เทคนิคซ่อนเพย์โหลดในไฟล์ภาพ การหลบแซนด์บ็อกซ์ และการปิด AMSI ทำให้ระบบป้องกันปลายทางทั่วไปตรวจจับได้ยาก องค์กรและหน่วยงานภาครัฐไทยที่มีทีมการเงินและบัญชีจึงควรตื่นตัวต่อภัยนี้เป็นพิเศษ เพราะกลุ่มเป้าหมายหลักคือทีมการเงินองค์กรและที่ปรึกษาด้านภาษีที่มักเปิดไฟล์เอกสารจากภายนอกเป็นประจำ
คำแนะนำ
ผู้ดูแลระบบและผู้ใช้งานควรระมัดระวังอีเมลที่อ้างเป็นกรมสรรพากรหรือหน่วยงานราชการที่ขอให้ดาวน์โหลดโปรแกรมหรือคลิกลิงก์ โดยควรเข้าใช้บริการยื่นภาษีผ่านเว็บไซต์ทางการโดยตรงเท่านั้น ไม่คลิกลิงก์จากอีเมล ควรตั้งค่าให้ระบบแจ้งเตือนเมื่อมีการสร้าง Windows service ใหม่ที่น่าสงสัย (เช่น MixedSvc) และเฝ้าระวังไฟล์ที่ถูกวางในโฟลเดอร์ผิดปกติ เช่น “Windows Media Player\nvdaHelperRemote.dll” หรือ “background.jpg” ใน C:\Windows ควรบล็อกการเชื่อมต่อไปยัง IoC ที่ระบุในรายงาน เปิดใช้งาน AMSI และตรวจสอบว่าโซลูชัน EDR ยังทำงานปกติไม่ถูกปิด ระวังไฟล์ ZIP ที่มี DLL แฝงมาพร้อม executable ที่ถูกต้อง (DLL side-loading) และให้ความรู้พนักงานฝ่ายการเงินและบัญชีเกี่ยวกับฟิชชิงธีมภาษีเป็นพิเศษในช่วงฤดูยื่นภาษี
Indicators of Compromise (IoCs)
หมายเหตุ: ตัวบ่งชี้ถูก defang (ใส่วงเล็บคั่น) เพื่อความปลอดภัย ห้ามคลิกหรือเข้าถึงโดยตรง — คัดจากรายงาน Seqrite Labs (เผยแพร่ 26 มิ.ย. 2026, พบเพย์โหลดล่าสุด detection 0/66 บน VirusTotal)
เครือข่าย (Network / C2)
| ประเภท | ตัวบ่งชี้ | รายละเอียด |
|---|---|---|
| โดเมน | govtop[.]one/incometax | หน้าเว็บปลอมแจกไฟล์ ZIP (โครงสร้างพื้นฐานหลัก) |
| IP | 204.194.48[.]250 | เซิร์ฟเวอร์แจกไฟล์ภาพ payload (lllyd.jpg) |
| IP | 118.107.0[.]197 | โครงสร้างพื้นฐานแคมเปญ |
| IP | 27.50.54[.]191 | โครงสร้างพื้นฐานแคมเปญ |
| IP:Port (C2) | 223.26.63[.]40:2671 | เซิร์ฟเวอร์ C2 ของ DcRAT (แผงควบคุมภาษาจีน, TLS) |
| โดเมน (C2) | kkxqbh[.]top | เซิร์ฟเวอร์รับข้อมูลที่ถูกดูดออก |
| โดเมน (C2) | kkkkddd[.]com | โดเมน C2 เพิ่มเติม |
โฮสต์ (Host-based)
| ประเภท | ตัวบ่งชี้ | รายละเอียด |
|---|---|---|
| ไฟล์ | nvdaHelperRemote.dll | DLL อันตรายที่ถูก sideload (504 KB) |
| ไฟล์ | Mixed Reality.exe | downloader/installer คัดลอกตัวเอง |
| ไฟล์ | background.jpg | ไฟล์ภาพซ่อนเพย์โหลด (steganography) ใน C:\Windows |
| Service | MixedSvc (Mixed Reality Service) | Windows service สร้างความคงทน |
แฮชไฟล์ (SHA-256)
| # | SHA-256 |
|---|---|
| 1 | 2f2f8f92af86fb962c30c4c1c9d673f9d94886373d0fcf78f8d105c051ffc643 |
| 2 | 1787d1119cd3b40e0e5f19d62821958b7d5c2bbe0518bf1e3fb2e44fdeb4fa58 |
| 3 | 19ca5fe04ca45a18c5bad9658ff73a8f39fe20ced78f690595f1b4c5a90af324 |
| 4 | 2f72f4b71e33c80f122dbe5360a8d687577260567d4b59cf8c07ee2182e8ceba |
| 5 | 4a040770fd81d0db9e04cb8dbd2e07e61969072962bb4e736b7c7001444cc2fa |
| 6 | 696f6a1a0fbf7b4ff977cc36382f6d2bc6d7813ed84b0195d925d1f46c24568c |
| 7 | 6c774188a54ae07ae896abdf1ea6695cc29f529388888665e05322af3e9178e1 |
| 8 | 6c9ae8a979ad18da2927ae4fdbd73d3c870ead4ea3d437656a3bdcc81b85a050 |
| 9 | 8ed95259300ca268279867d2999d9c4f6585c6c45308635fc39af87da27546b5 |
| 10 | 9e73cd733707e5f7c9091147b029a6974b985d6c90a9cc2cb47bc0ae8a0f9245 |
| 11 | c6fc06db6a1318152c09200352b40c8fa794f1089988835c1df92174347be8ec |
| 12 | e6346e3087db2bfba4551fcf89d94ae49aa92dc22f0ec2b718187a96e3a3b83c |
| 13 | fc17d5b4d64cb61a5aa8fb6bbe1e94885f129b2bf8ee91bca1ccca2b537f6616 |
| 14 | 40593369e14c9ab7b5e2fd186a580dbcd790ebb902f3aedc12c92cd617302960 |
| 15 | ec5d4103b3d97885e9575ad045b2ef5467bf9fccf71828e418e6488d78983146 |
| 16 | 133e4d3f1dcd99a35fec92ad13bafa3790b6d585f8ec46527fe0ae01da98ad22 |
| 17 | 5a00485968679dc0ed6d80b659f48287603864c223e952918d2c2aaddfa2d280 |
| 18 | 6751ad8d0aeb6ac67cd54ea42657ce1f16addc3e3111f9e60b11931ebf58e77d |
| 19 | 7e142c8fa614cc39d0453aa648b12209821c6bcbb77ee02094f70161b40d50ae |
| 20 | 879cfe23a96e822f3873fd90a37d548d7975ba0552ce28527d3d1e292000c59b |
| 21 | eccff5c026a01cbe91db45cd0289f8822985aa5183f096d8add69762696d100d |
| 22 | fdd9752f4bb03762828e2e2bb6ec26c5f05a664dc28e02457685ddb3650d3e95 |
| 23 | a8614dfad5fd2a79302a7c4829a0fed6f3a0a46b11beb28f89531cdfa83d32b3 |
| 24 | 03d2b73ecde0575a1e5ea24d6e4f12987cc081c0bc22dadf8c4219e8e38ca6e0 |
| 25 | 589aa1f7252cae74538343cd35443c0a8f58ed280f2016918b6e539a0c09529a |
| 26 | 590a75978ab33a97280be1e2ae62a2e416ada45a11bc3f1cb77c99f3eb542b4e |
| 27 | 5e97f7c17bf0466355be0438c7cc3e2e4d125e31368f2fbcb8e1d79cb97f137a |
| 28 | 8673ce317876e6c3fe868c98524a3b2ae86a79b737536b865f044a52d16a7193 |
| 29 | b0fcd7d9396e70b89e8292f6b80f933607b6fc9a9d3d4dd4ca69b408a2625932 |
| 30 | b4fb231356254426e340ab1dba50fa37a69859fc4e8a2dbdfc3e1db082006847 |
| 31 | c6651d6ce31c3a00357e579981d48c0da942b5bbe1582bf3d612a07dc3bc0ff6 |
| 32 | db946f3f2b409370d14a6e69cf029f2818985f19320fa09b63bd3268dc830b02 |
| 33 | 34d1231a3bf1e13a9b90daecb5c74d52aea94ca54427b203d77e1adc61a5c4f9 |
| 34 | 2c0de3d5432d5a14cb03936a460ceb633b53a51881c4fa4f3dfa87fedef2148e |
Seqrite Detection
Malware.Ulise, Trojan.Ulise, Trojan.Phonzy, Trojan.Ravartar, Trojandownloader.Smallao, Trojan.InjectorCiR
