สรุปสั้น

นักวิจัยจากบริษัท Infoblox ได้เปิดโปงปฏิบัติการของกลุ่มอาชญากรไซเบอร์ที่แอบเปลี่ยนคอมพิวเตอร์ของผู้ใช้ทั่วไปให้กลายเป็นพร็อกซีเซิร์ฟเวอร์สำหรับขายต่อมานานหลายปี โดยซ่อนตัวอยู่เบื้องหลังโปรแกรมบีบอัดไฟล์ 7-Zip เวอร์ชันปลอม เหยื่อที่ค้นหาซอฟต์แวร์ฟรีตัวนี้จะถูกพาไปยังเว็บไซต์เลียนแบบที่ติดตั้งซอฟต์แวร์พร็อกซีซ่อนเร้นแทนโปรแกรมจริง เมื่อทำงานแล้วมัลแวร์จะแอบปล่อยเช่าการเชื่อมต่ออินเทอร์เน็ตของเหยื่อให้ลูกค้าที่จ่ายเงินโดยที่เจ้าของเครื่องไม่รู้ตัวและไม่ได้ยินยอม

บริษัท Infoblox ตั้งชื่อกลุ่มนี้ว่า Lurking Lizard และพบว่าปฏิบัติการเริ่มดึงดูดความสนใจในต้นปี 2569 เมื่อพบตัวติดตั้งปลอมโฮสต์อยู่ที่โดเมน 7zip[.]com แทนเว็บจริง 7-zip[.]org แต่เมื่อสืบสาวลึกลงไปกลับพบว่าเป็นเพียงส่วนหนึ่งของแผนการที่ใหญ่และยาวนานกว่านั้นมาก โดยย้อนกลับไปได้ถึงอย่างน้อยเดือนสิงหาคม 2565 มีการเชื่อมโยงโดเมนกว่า 230 รายการ ครอบคลุมทั้งแอป VPN ปลอม เครื่องมือดาวน์โหลดปลอม และเว็บผู้ให้บริการพร็อกซีปลอม โดยหลักฐานชี้ว่าผู้อยู่เบื้องหลังน่าจะอยู่ในประเทศจีน และล่าสุดยังแปลงร่างเป็นแอป WireVPN ที่มียอดดาวน์โหลดบน Android เกินหนึ่งล้านครั้ง

รายละเอียดข่าว

เว็บไซต์ Cyber Security News (CSN) รายงานเมื่อวันที่ 8 กรกฎาคม 2569 ว่านักวิเคราะห์จากบริษัท Infoblox ได้ระบุตัวกลุ่มผู้อยู่เบื้องหลังปฏิบัติการนี้และตั้งชื่อว่า Lurking Lizard ซึ่งดำเนินธุรกิจพร็อกซีแบบครบวงจร ตั้งแต่หลอกให้ผู้ใช้ติดตั้งมัลแวร์ไปจนถึงขายต่อแบนด์วิดท์ผ่านหน้าร้านบริการพร็อกซีปลอม

ทีมข่าวกรองภัยคุกคามของบริษัทเชื่อมโยงปฏิบัติการนี้เข้าด้วยกันโดยอาศัยข้อมูลการจดทะเบียนโดเมน โค้ดที่ใช้ร่วมกัน และร่องรอยการติดตามที่ฝังอยู่ในตัวมัลแวร์ พบโดเมนที่เกี่ยวข้องมากกว่า 230 รายการ ทั้งแอป VPN ปลอม เครื่องมือดาวน์โหลดปลอม และแม้แต่เว็บผู้ให้บริการพร็อกซีปลอมที่ออกแบบให้ดูเหมือนเป็นบริการอิสระ หลักฐานจากรายละเอียดการจดทะเบียนโดเมนและชื่อผู้จดทะเบียนที่ปรากฏซ้ำ ๆ ชี้ว่าผู้ดำเนินการน่าจะอยู่ในประเทศจีน และแทนที่จะหยุดหลังถูกเปิดโปง กลุ่มนี้กลับเพียงเปลี่ยนชื่อแบรนด์แล้วดำเนินการต่อภายใต้ชื่อใหม่

cybersecurity opera proxy rat lurking lizard uses fake turn victim devices into proxy nodes
cybersecurity opera proxy rat lurking lizard uses fake turn victim devices into proxy nodes

วิธีการโจมตี

แคมเปญ 7-Zip ปลอมอาศัยเทคนิคที่เรียกว่า drop-catching คือการซื้อโดเมนที่หมดอายุแล้วเพื่อรับช่วงชื่อเสียงเดิมบนเครื่องมือค้นหา ในกรณีนี้โดเมน 7zip[.]com เคยถูกอ้างอิงผิด ๆ ในเว็บบอร์ดต่าง ๆ มานานหลายปี ทำให้มันมีความน่าเชื่อถือติดมาโดยบังเอิญก่อนที่ผู้โจมตีจะเข้าครอบครอง นักวิจัยพบโดเมน drop-catch ลักษณะเดียวกันอย่างน้อย 7 รายการที่ผูกกับผู้โจมตีรายเดียวกัน บางโดเมนจดทะเบียนย้อนไปไกลถึงปี 2547

เบาะแสสำคัญที่เชื่อมโยงแคมเปญเข้ากับเครือข่ายที่ใหญ่กว่าคือลิงก์ติดตาม IPLogger ที่ถูกฮาร์ดโค้ดฝังอยู่ในตัวอย่างมัลแวร์ ลิงก์เดียวนี้ผูกตัวติดตั้ง 7-Zip เข้ากับเหยื่อล่อรูปแบบอื่นที่ดูไม่เกี่ยวข้องกัน รวมถึงเครื่องมือดาวน์โหลด TikTok และ YouTube ปลอม ตลอดจนแอป VPN ปลอมชื่อ WireVPN ที่โผล่มาในช่วงหลัง โดยชื่อผู้จดทะเบียน WHOIS ที่ตรงกัน รหัสติดตามที่เหมือนกัน และโครงสร้างเซิร์ฟเวอร์เบื้องหลังที่เหมือนกันในหลายสิบโดเมน ทำให้ยากที่จะปัดว่าเป็นเรื่องบังเอิญ

ปฏิบัติการ 7-Zip ปลอมได้พัฒนาไปสู่การอำพรางใหม่ในชื่อ WireVPN ซึ่งเปิดให้ดาวน์โหลดได้ทั้งบน Apple App Store และ Google Play โดยมียอดดาวน์โหลดบน Android เกินหนึ่งล้านครั้ง การทดสอบพบว่าแทนที่จะทำงานเหมือน VPN จริง แอปกลับส่งสัญญาณ (ping) ไปยังหมายเลขไอพีที่ไม่เกี่ยวข้องจำนวนมากและเปิดการเชื่อมต่อพร้อมกันหลายช่องทาง ซึ่งเป็นพฤติกรรมที่สอดคล้องกับการทำหน้าที่เป็นจุดออก (exit point) ให้ทราฟฟิกของคนอื่น มากกว่าจะปกป้องการเชื่อมต่อของผู้ใช้เอง นอกจากนี้แอปของ Lurking Lizard ยังมีใบรับรองการเซ็นโค้ด (code signing certificate) ที่ดูถูกต้องจากบริษัทที่จดทะเบียนจริง ทำให้ยิ่งแยกแยะได้ยาก

ผลกระทบต่อไทย

พร็อกซีที่อยู่อาศัย (residential proxy) ที่สร้างจากเครื่องเหยื่อทั่วโลกมักถูกอาชญากรใช้อำพรางทราฟฟิกในการโจมตีต่าง ๆ เช่น การสวมสิทธิ์บัญชี (credential stuffing) การกวาดข้อมูล (scraping) และการฉ้อโกง ผู้ใช้ในไทยที่นิยมค้นหาและดาวน์โหลดซอฟต์แวร์ฟรีจากลิงก์ที่เครื่องมือค้นหาแนะนำ หรือดาวน์โหลดแอป VPN ฟรีเพื่อหลบข้อจำกัดการเข้าถึงเว็บ จึงมีความเสี่ยงสูงที่จะติดตั้งซอฟต์แวร์ปลอมเหล่านี้โดยไม่รู้ตัว ผลที่ตามมาคือแบนด์วิดท์และหมายเลขไอพีของเหยื่ออาจถูกนำไปใช้ก่ออาชญากรรม ทำให้ไอพีถูกขึ้นบัญชีดำ ถูกบล็อกจากบริการต่าง ๆ หรือแม้แต่ถูกโยงเข้ากับกิจกรรมผิดกฎหมายที่ตนไม่ได้ก่อ

คำแนะนำ

ผู้ใช้ควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากลิงก์ที่ไม่เป็นทางการหรือที่เครื่องมือค้นหาแนะนำ และตรวจสอบโดเมนอย่างเป็นทางการให้แน่ใจก่อนติดตั้งโปรแกรมบีบอัดหรือแอป VPN ทุกครั้ง เช่น 7-Zip ของแท้อยู่ที่ 7-zip[.]org เท่านั้น ควรตรวจสอบรายละเอียดผู้เผยแพร่แอปอย่างละเอียด เพราะแอปของ Lurking Lizard มีใบรับรองการเซ็นโค้ดที่ดูถูกต้องจากบริษัทที่จดทะเบียนจริง สำหรับผู้ดูแลระบบ ควรเฝ้าระวังชื่อไฟล์ โดเมน และพฤติกรรมเครือข่ายที่ผูกกับผู้โจมตีรายนี้ เช่น การที่แอปเปิดการเชื่อมต่อพร้อมกันจำนวนมากไปยังไอพีที่ไม่เกี่ยวข้อง เพื่อตรวจจับการติดมัลแวร์ตั้งแต่เนิ่น ๆ และพึงระลึกว่าโปรแกรมที่ทำงานได้ตามปกติไม่ใช่หลักประกันว่าปลอดภัย

แหล่งอ้างอิง