สรุปสั้น
มัลแวร์ขั้นสูงที่เคยถูกระบุว่าเป็นของกลุ่มผู้ก่อภัยคุกคามที่เชื่อมโยงกับจีนได้กลับมาปรากฏอีกครั้งหลังผ่านไปกว่าสี่ปี ภายในบริษัทผู้ผลิตในไต้หวัน พร้อมกับแบ็กดอร์ที่ไม่เคยมีรายงานมาก่อนชื่อ Stupig รูทคิตระดับเคอร์เนล (Kernel-mode Rootkit) ที่ชื่อ Daxin (ไฟล์ “srt64.sys”) ถูกบันทึกครั้งแรกโดยบริษัท Symantec ในเครือ Broadcom เมื่อเดือนมีนาคม 2022 โดยมีหลักฐานว่าถูกใช้โจมตีแบบเจาะจงเป้าหมายรัฐบาลและโครงสร้างพื้นฐานสำคัญมาตั้งแต่ปี 2013 ผลการวิจัยล่าสุดจากทีม Threat Hunter ของ Symantec และ Carbon Black แสดงให้เห็นว่า Daxin ยังทำงานอยู่ หลังพบมันรันบนเครื่องที่ถูกเจาะในไต้หวันในปี 2026 เครื่องเดียวกันนี้ซึ่งเป็นของบริษัทลูกในไต้หวันของผู้ผลิตไฮเทคข้ามชาติ ยังติดมัลแวร์ Stupig (ไฟล์ “a.dll” หรือ “kbdus1.dll”) ที่พยายามปลอมตัวเป็น “kbdus.dll” ซึ่งเป็น DLL ที่ถูกต้องของ Microsoft สำหรับเค้าโครงแป้นพิมพ์ภาษาอังกฤษแบบสหรัฐฯ จุดที่ทำให้การบุกรุกนี้โดดเด่นคือทั้งสองไฟล์มี timestamp การคอมไพล์จากต้นปี 2013 แต่เครื่องที่ถูกเจาะเพิ่งเริ่มส่งข้อมูล telemetry เมื่อวันที่ 12 พฤษภาคม 2026 จึงคาดว่าการโจมตีอาจไม่ถูกตรวจพบนานถึง 13 ปี
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า ทีม Threat Hunter ของบริษัท Symantec และ Carbon Black ในเครือ Broadcom ได้ค้นพบรูทคิต Daxin กลับมาทำงานในบริษัทผู้ผลิตไต้หวัน พร้อมแบ็กดอร์ใหม่ Stupig โดยระบุว่า “Stupig ใช้เทคนิคที่ไม่เคยมีการบันทึกในมัลแวร์ตระกูลใดที่รู้จัก DLL เค้าโครงแป้นพิมพ์ที่ถูกฝังโทรจันซึ่งโหลดโดย winlogon.exe เปิดทางให้ผู้โจมตีรันคำสั่งในระดับ System ได้โดยตรงจากหน้าจอล็อกอินของ Windows ก่อนที่ใครจะล็อกอิน และไม่ทำให้เกิดเหตุการณ์ตรวจสอบการล็อกอิน (Logon Audit Event)”
แม้จะยังไม่พบความทับซ้อนในระดับโค้ดระหว่าง Daxin และ Stupig แต่การที่ทั้งสองถูกติดตั้งบนเครื่องเดียวกัน ประกอบกับฟังก์ชันที่เสริมกัน ความคล้ายคลึงในแนวทางการพัฒนา และ timestamp การคอมไพล์ปี 2013 บ่งชี้ว่าทั้งสองอาจเป็นผลงานของผู้ก่อภัยคุกคามรายเดียวกัน Daxin มีแนวทางการสื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม (C2) ที่ผิดปกติ แทนที่จะสร้างการเชื่อมต่อขาออกไปยังโครงสร้างพื้นฐานของผู้โจมตีโดยตรง แบ็กดอร์ไดรเวอร์ระดับเคอร์เนลของ Windows ตัวนี้จะเฝ้าดูทราฟฟิก TCP ขาเข้าเพื่อหารูปแบบเฉพาะ แล้วยึดการเชื่อมต่อที่ถูกต้องที่มีอยู่แล้วมาใช้สื่อสาร C2 แบบเข้ารหัส เพื่อกลมกลืนกับกิจกรรมปกติ ทำให้ตรวจจับได้ยากด้วยการเฝ้าระวังเครือข่ายแบบเดิม ทั้งยังรองรับการสื่อสารแบบหลายทอด (multi-hop) ผ่านห่วงโซ่ของเครื่องที่ติดมัลแวร์ ทำให้ผู้ปฏิบัติการเข้าถึงระบบในเครือข่ายที่แยกโดดเดี่ยว (Isolated) หรือแม้แต่ตัดขาดจากอินเทอร์เน็ตทางกายภาพได้
จุดเริ่มต้นและช่วงเวลาที่เครื่องถูกเจาะยังไม่ทราบแน่ชัด แต่คาดว่าน่าจะมาจากพอร์ทัล single sign-on (SSO) ของ Digiwin เวอร์ชันเก่าที่ใช้ Java Development Kit (JDK) 1.5 และ 1.6 ที่หมดอายุการสนับสนุนตั้งแต่ปี 2009 ถึง 2011 การค้นพบ Daxin ในปี 2026 แสดงว่าปฏิบัติการจารกรรมไซเบอร์นี้ไม่เคยหยุดลงอย่างสมบูรณ์ แต่เพียงเงียบลงและคงการฝังตัวอย่างแนบเนียนในเครือข่ายเป้าหมาย
วิธีการทำงาน
Stupig เป็นแบ็กดอร์แบบ DLL ที่สร้างการฝังตัวถาวรด้วยการลงทะเบียนตัวเองเป็นผู้ให้บริการเค้าโครงแป้นพิมพ์ (Keyboard-layout Provider) ทำให้ win32k.sys โหลดมันเข้าไปใน winlogon.exe ตอนระบบเริ่มทำงาน โดย DLL จะคืนค่า pointer ของ KBDTABLES ที่ถูกต้อง เพื่อให้ฟังก์ชันเค้าโครงแป้นพิมพ์ทำงานได้ตามปกติ ไม่เผยพิรุธให้โปรเซสหรือผู้ดูแลระบบที่ตรวจสอบโมดูลที่โหลดอยู่เห็น เมื่อเริ่มทำงานภายใน winlogon.exe มันจะคอยเฝ้าหาชื่อผู้ใช้ที่ขึ้นต้นด้วยสตริง “stupig” ในหน้าจอล็อกอินของ Windows เมื่อมีการป้อนชื่อผู้ใช้ดังกล่าว สตริงใด ๆ ที่ตามหลังคำนำหน้าจะถูกตีความเป็นคำสั่งและรันด้วยสิทธิ์ SYSTEM หากไม่มีการป้อนคำสั่งตามหลังคำนำหน้า มันจะเปิดหน้าต่าง command prompt ในสิทธิ์ SYSTEM บนหน้าจอล็อกอินแทน วิธีนี้ให้ผู้ปฏิบัติการเข้าถึงระดับ SYSTEM และขโมยข้อมูลรับรองได้ก่อนที่ผู้ใช้จะล็อกอิน ซึ่งเป็นช่องทางที่ผู้ป้องกันส่วนใหญ่ไม่รู้จักและไม่ได้เฝ้าระวัง
การเปิดเผยครั้งนี้เกิดขึ้นในช่วงเดียวกับที่บริษัท Hunt.io รายงานว่าพบผู้ก่อภัยคุกคามที่คาดว่าเชื่อมโยงกับจีนใช้ Anthropic Claude Code และโมเดล DeepSeek เพื่อทำการโจมตีระบบของรัฐบาลและการเงินในอัฟกานิสถาน ไทย ไต้หวัน และสหรัฐฯ แบบอัตโนมัติ โดยการค้นพบอ้างอิงจาก open directory (“112.213.124[.]132”) ที่พบว่ามีลายนิ้วมือ HTTP header เหมือนกับโครงสร้าง C2 ของ TencShell ที่รู้จักกันดี บริษัทข่าวกรองภัยคุกคามระบุว่า AI “จัดการการให้เหตุผลสำหรับเทคนิคการข้ามการป้องกัน ปรับแก้ exploit หลังความพยายามที่ล้มเหลว และสร้างหน้าฟิชชิงที่ใช้เก็บข้อมูลรับรอง” โดย Claude Code ทำหน้าที่เป็นเครื่องยนต์การรันคำสั่งและจัดการเครื่องมือ ขณะที่ DeepSeek-v4-pro ทำหน้าที่เป็นโมเดลการให้เหตุผลเบื้องหลังที่จัดการตรรกะการโจมตีและการสร้างสคริปต์
ผลกระทบต่อไทย
ข่าวนี้เกี่ยวข้องกับไทยโดยตรง เพราะรายงานของ Hunt.io ระบุว่าไทยเป็นหนึ่งในเป้าหมายที่กลุ่มเชื่อมโยงจีนใช้ AI (Claude Code + DeepSeek) โจมตีระบบรัฐบาลและการเงินแบบอัตโนมัติ ควบคู่กับการฟื้นตัวของ Daxin ที่เน้นภูมิภาคเอเชียตะวันออกและไต้หวัน ยิ่งสะท้อนว่าองค์กรและหน่วยงานไทยอยู่ในขอบเขตการจารกรรมไซเบอร์ของกลุ่มรัฐหนุนหลังจากจีน เทคนิคของ Daxin ที่ยึดการเชื่อมต่อที่ถูกต้องมาใช้ C2 และเข้าถึงเครือข่ายที่ตัดขาดจากอินเทอร์เน็ตได้ ทำให้ระบบที่คิดว่าปลอดภัยเพราะ air-gap อาจไม่ปลอดภัยจริง ส่วน Stupig ที่รันคำสั่งระดับ SYSTEM ก่อนล็อกอินโดยไม่ทิ้งร่องรอย audit เป็นภัยที่ทีมความมั่นคงไทยส่วนใหญ่ยังไม่ได้เฝ้าระวัง อีกทั้งช่องทางเริ่มต้นผ่านซอฟต์แวร์ ERP/SSO เวอร์ชันเก่าที่หมดอายุ ก็เป็นความเสี่ยงที่พบได้บ่อยในองค์กรไทย
คำแนะนำ
องค์กรควรเร่งอัปเดตหรือทดแทนซอฟต์แวร์ที่หมดอายุการสนับสนุน โดยเฉพาะระบบ SSO/ERP และ Java runtime เวอร์ชันเก่าที่อาจเป็นช่องทางเข้าเริ่มต้น ควรเฝ้าระวัง DLL ที่ลงทะเบียนเป็นผู้ให้บริการเค้าโครงแป้นพิมพ์อย่างผิดปกติและโมดูลแปลกปลอมที่โหลดเข้า winlogon.exe รวมถึงตรวจหาชื่อผู้ใช้ที่ขึ้นต้นด้วย “stupig” ในระบบ สำหรับภัยแบบ Daxin ควรใช้การตรวจจับที่อิงพฤติกรรม (Behavioral Detection) และการวิเคราะห์หน่วยความจำ มากกว่าการเฝ้าระวังทราฟฟิกขาออกเพียงอย่างเดียว เนื่องจากมัลแวร์กลมกลืนกับการเชื่อมต่อปกติ ควรแบ่งแยกเครือข่าย (Segmentation) อย่างเข้มงวด ตรวจสอบเครื่องในเครือข่ายที่แยกโดดเดี่ยว และนำตัวบ่งชี้การถูกโจมตี (IoCs) จากรายงานของ Symantec ไปใช้ในการล่าภัยคุกคาม (Threat Hunting) เชิงรุก
