สรุปสั้น
นักวิจัยจากบริษัท Infoblox ได้เปิดโปงปฏิบัติการของกลุ่มอาชญากรไซเบอร์ที่แอบเปลี่ยนคอมพิวเตอร์ของผู้ใช้ทั่วไปให้กลายเป็นพร็อกซีเซิร์ฟเวอร์สำหรับขายต่อมานานหลายปี โดยซ่อนตัวอยู่เบื้องหลังโปรแกรมบีบอัดไฟล์ 7-Zip เวอร์ชันปลอม เหยื่อที่ค้นหาซอฟต์แวร์ฟรีตัวนี้จะถูกพาไปยังเว็บไซต์เลียนแบบที่ติดตั้งซอฟต์แวร์พร็อกซีซ่อนเร้นแทนโปรแกรมจริง เมื่อทำงานแล้วมัลแวร์จะแอบปล่อยเช่าการเชื่อมต่ออินเทอร์เน็ตของเหยื่อให้ลูกค้าที่จ่ายเงินโดยที่เจ้าของเครื่องไม่รู้ตัวและไม่ได้ยินยอม
บริษัท Infoblox ตั้งชื่อกลุ่มนี้ว่า Lurking Lizard และพบว่าปฏิบัติการเริ่มดึงดูดความสนใจในต้นปี 2569 เมื่อพบตัวติดตั้งปลอมโฮสต์อยู่ที่โดเมน 7zip[.]com แทนเว็บจริง 7-zip[.]org แต่เมื่อสืบสาวลึกลงไปกลับพบว่าเป็นเพียงส่วนหนึ่งของแผนการที่ใหญ่และยาวนานกว่านั้นมาก โดยย้อนกลับไปได้ถึงอย่างน้อยเดือนสิงหาคม 2565 มีการเชื่อมโยงโดเมนกว่า 230 รายการ ครอบคลุมทั้งแอป VPN ปลอม เครื่องมือดาวน์โหลดปลอม และเว็บผู้ให้บริการพร็อกซีปลอม โดยหลักฐานชี้ว่าผู้อยู่เบื้องหลังน่าจะอยู่ในประเทศจีน และล่าสุดยังแปลงร่างเป็นแอป WireVPN ที่มียอดดาวน์โหลดบน Android เกินหนึ่งล้านครั้ง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News (CSN) รายงานเมื่อวันที่ 8 กรกฎาคม 2569 ว่านักวิเคราะห์จากบริษัท Infoblox ได้ระบุตัวกลุ่มผู้อยู่เบื้องหลังปฏิบัติการนี้และตั้งชื่อว่า Lurking Lizard ซึ่งดำเนินธุรกิจพร็อกซีแบบครบวงจร ตั้งแต่หลอกให้ผู้ใช้ติดตั้งมัลแวร์ไปจนถึงขายต่อแบนด์วิดท์ผ่านหน้าร้านบริการพร็อกซีปลอม
ทีมข่าวกรองภัยคุกคามของบริษัทเชื่อมโยงปฏิบัติการนี้เข้าด้วยกันโดยอาศัยข้อมูลการจดทะเบียนโดเมน โค้ดที่ใช้ร่วมกัน และร่องรอยการติดตามที่ฝังอยู่ในตัวมัลแวร์ พบโดเมนที่เกี่ยวข้องมากกว่า 230 รายการ ทั้งแอป VPN ปลอม เครื่องมือดาวน์โหลดปลอม และแม้แต่เว็บผู้ให้บริการพร็อกซีปลอมที่ออกแบบให้ดูเหมือนเป็นบริการอิสระ หลักฐานจากรายละเอียดการจดทะเบียนโดเมนและชื่อผู้จดทะเบียนที่ปรากฏซ้ำ ๆ ชี้ว่าผู้ดำเนินการน่าจะอยู่ในประเทศจีน และแทนที่จะหยุดหลังถูกเปิดโปง กลุ่มนี้กลับเพียงเปลี่ยนชื่อแบรนด์แล้วดำเนินการต่อภายใต้ชื่อใหม่


วิธีการโจมตี
แคมเปญ 7-Zip ปลอมอาศัยเทคนิคที่เรียกว่า drop-catching คือการซื้อโดเมนที่หมดอายุแล้วเพื่อรับช่วงชื่อเสียงเดิมบนเครื่องมือค้นหา ในกรณีนี้โดเมน 7zip[.]com เคยถูกอ้างอิงผิด ๆ ในเว็บบอร์ดต่าง ๆ มานานหลายปี ทำให้มันมีความน่าเชื่อถือติดมาโดยบังเอิญก่อนที่ผู้โจมตีจะเข้าครอบครอง นักวิจัยพบโดเมน drop-catch ลักษณะเดียวกันอย่างน้อย 7 รายการที่ผูกกับผู้โจมตีรายเดียวกัน บางโดเมนจดทะเบียนย้อนไปไกลถึงปี 2547
เบาะแสสำคัญที่เชื่อมโยงแคมเปญเข้ากับเครือข่ายที่ใหญ่กว่าคือลิงก์ติดตาม IPLogger ที่ถูกฮาร์ดโค้ดฝังอยู่ในตัวอย่างมัลแวร์ ลิงก์เดียวนี้ผูกตัวติดตั้ง 7-Zip เข้ากับเหยื่อล่อรูปแบบอื่นที่ดูไม่เกี่ยวข้องกัน รวมถึงเครื่องมือดาวน์โหลด TikTok และ YouTube ปลอม ตลอดจนแอป VPN ปลอมชื่อ WireVPN ที่โผล่มาในช่วงหลัง โดยชื่อผู้จดทะเบียน WHOIS ที่ตรงกัน รหัสติดตามที่เหมือนกัน และโครงสร้างเซิร์ฟเวอร์เบื้องหลังที่เหมือนกันในหลายสิบโดเมน ทำให้ยากที่จะปัดว่าเป็นเรื่องบังเอิญ
ปฏิบัติการ 7-Zip ปลอมได้พัฒนาไปสู่การอำพรางใหม่ในชื่อ WireVPN ซึ่งเปิดให้ดาวน์โหลดได้ทั้งบน Apple App Store และ Google Play โดยมียอดดาวน์โหลดบน Android เกินหนึ่งล้านครั้ง การทดสอบพบว่าแทนที่จะทำงานเหมือน VPN จริง แอปกลับส่งสัญญาณ (ping) ไปยังหมายเลขไอพีที่ไม่เกี่ยวข้องจำนวนมากและเปิดการเชื่อมต่อพร้อมกันหลายช่องทาง ซึ่งเป็นพฤติกรรมที่สอดคล้องกับการทำหน้าที่เป็นจุดออก (exit point) ให้ทราฟฟิกของคนอื่น มากกว่าจะปกป้องการเชื่อมต่อของผู้ใช้เอง นอกจากนี้แอปของ Lurking Lizard ยังมีใบรับรองการเซ็นโค้ด (code signing certificate) ที่ดูถูกต้องจากบริษัทที่จดทะเบียนจริง ทำให้ยิ่งแยกแยะได้ยาก
ผลกระทบต่อไทย
พร็อกซีที่อยู่อาศัย (residential proxy) ที่สร้างจากเครื่องเหยื่อทั่วโลกมักถูกอาชญากรใช้อำพรางทราฟฟิกในการโจมตีต่าง ๆ เช่น การสวมสิทธิ์บัญชี (credential stuffing) การกวาดข้อมูล (scraping) และการฉ้อโกง ผู้ใช้ในไทยที่นิยมค้นหาและดาวน์โหลดซอฟต์แวร์ฟรีจากลิงก์ที่เครื่องมือค้นหาแนะนำ หรือดาวน์โหลดแอป VPN ฟรีเพื่อหลบข้อจำกัดการเข้าถึงเว็บ จึงมีความเสี่ยงสูงที่จะติดตั้งซอฟต์แวร์ปลอมเหล่านี้โดยไม่รู้ตัว ผลที่ตามมาคือแบนด์วิดท์และหมายเลขไอพีของเหยื่ออาจถูกนำไปใช้ก่ออาชญากรรม ทำให้ไอพีถูกขึ้นบัญชีดำ ถูกบล็อกจากบริการต่าง ๆ หรือแม้แต่ถูกโยงเข้ากับกิจกรรมผิดกฎหมายที่ตนไม่ได้ก่อ
คำแนะนำ
ผู้ใช้ควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากลิงก์ที่ไม่เป็นทางการหรือที่เครื่องมือค้นหาแนะนำ และตรวจสอบโดเมนอย่างเป็นทางการให้แน่ใจก่อนติดตั้งโปรแกรมบีบอัดหรือแอป VPN ทุกครั้ง เช่น 7-Zip ของแท้อยู่ที่ 7-zip[.]org เท่านั้น ควรตรวจสอบรายละเอียดผู้เผยแพร่แอปอย่างละเอียด เพราะแอปของ Lurking Lizard มีใบรับรองการเซ็นโค้ดที่ดูถูกต้องจากบริษัทที่จดทะเบียนจริง สำหรับผู้ดูแลระบบ ควรเฝ้าระวังชื่อไฟล์ โดเมน และพฤติกรรมเครือข่ายที่ผูกกับผู้โจมตีรายนี้ เช่น การที่แอปเปิดการเชื่อมต่อพร้อมกันจำนวนมากไปยังไอพีที่ไม่เกี่ยวข้อง เพื่อตรวจจับการติดมัลแวร์ตั้งแต่เนิ่น ๆ และพึงระลึกว่าโปรแกรมที่ทำงานได้ตามปกติไม่ใช่หลักประกันว่าปลอดภัย
