จัดทำโดย: Cloud Thunder Threat Intelligence
ประเภทเอกสาร: บทวิเคราะห์เชิงยุทธศาสตร์ด้านภัยคุกคาม (Strategic Threat Actor Analysis)
หัวข้อ: กลุ่มจารกรรมไซเบอร์ Mustang Panda (Bronze President / Stately Taurus / Earth Preta / Hive0154)
มุมมอง: ความมั่นคงปลอดภัยไซเบอร์ของประเทศไทย
ฐานข้อมูล: รายงานจาก IBM X-Force, Kaspersky, Palo Alto Networks Unit 42, Acronis, Cado/Darktrace, ThaiCERT และฐานข่าวของ Cloud Thunder
บทสรุปเชิงยุทธศาสตร์ (Strategic Summary)
Mustang Panda เป็นหนึ่งในกลุ่มจารกรรมไซเบอร์ที่รัฐบาลจีนหนุนหลังซึ่งเคลื่อนไหวยาวนานและมีระเบียบวินัยมากที่สุดกลุ่มหนึ่งของโลก และในช่วงสองปีที่ผ่านมากลุ่มนี้ได้ยกระดับประเทศไทยจาก “เป้าหมายหนึ่งในภูมิภาค” ขึ้นเป็น เป้าหมายเฉพาะที่ถูกเลือกอย่างจงใจ สิ่งที่ควรถือเป็นสัญญาณเตือนระดับชาติคือหลักฐานที่บ่งชี้ว่ากลุ่มนี้น่าจะมีทีมย่อย (sub-cluster) ที่อุทิศให้กับการโจมตีประเทศไทยโดยเฉพาะ จากการที่นักวิจัยพบมัลแวร์หนอน USB ชื่อ SnakeDisk ที่ถูกตั้งค่าให้ทำงานเฉพาะบนเครื่องที่มีที่อยู่ไอพี (IP address) อยู่ในประเทศไทยเท่านั้น ควบคู่กับการเจาะระบบที่เชื่อมโยงกับสำนักงานตำรวจแห่งชาติ (Royal Thai Police) และการโจมตีเจ้าหน้าที่ระดับสูงของไทยด้วยแบ็กดอร์ (backdoor — ประตูลับสำหรับควบคุมเครื่องจากระยะไกล) ชื่อ Yokai
จุดแข็งของกลุ่มนี้ไม่ได้อยู่ที่ช่องโหว่ (vulnerability) ระดับศูนย์วัน (zero-day) ราคาแพง แต่อยู่ที่ “ความอดทน” และ “การพรางตัว” กลุ่มนี้เชี่ยวชาญเทคนิคที่เรียกว่า DLL sideloading คือการยืมโปรแกรมของบริษัทที่ถูกต้องตามกฎหมาย (เช่น โปรแกรมป้องกันไวรัส G DATA, VLC Media Player, Citrix หรือ Solid PDF Creator) มาเป็นฉากบังหน้าในการโหลดมัลแวร์ ทำให้ระบบป้องกันเห็นเป็นไฟล์ที่มีลายเซ็นดิจิทัลถูกต้องและไม่แจ้งเตือน จากนั้นจึงปล่อยเครื่องมือควบคุมระยะไกล เช่น PlugX, TONESHELL และ COOLCLIENT เข้าไปทำงานในหน่วยความจำโดยไม่ทิ้งร่องรอยบนดิสก์ แล้วสั่งการผ่านบริการคลาวด์ที่ถูกกฎหมาย (Zoho WorkDrive, Google Drive, Dropbox) เพื่อให้ทราฟฟิกอันตรายกลมกลืนกับการใช้งานปกติ
บทวิเคราะห์ฉบับนี้ประเมินว่าเป้าหมายหลักของ Mustang Panda ต่อไทยคือ การจารกรรมข้อมูลเชิงยุทธศาสตร์ระยะยาว ไม่ใช่การทำลายระบบหรือเรียกค่าไถ่ กลุ่มนี้สนใจหน่วยงานราชการ กระทรวงการต่างประเทศ หน่วยงานความมั่นคง และโครงสร้างพื้นฐานสำคัญโดยเฉพาะภาคพลังงาน ซึ่งสอดคล้องกับผลประโยชน์ทางภูมิรัฐศาสตร์ของจีนในภูมิภาคอาเซียนและข้อพิพาททะเลจีนใต้ ความเสี่ยงจึงไม่ใช่เพียงเรื่องความปลอดภัยขององค์กรใดองค์กรหนึ่ง แต่เป็นเรื่องของ อธิปไตยทางข้อมูลและความมั่นคงของชาติ ที่ต้องอาศัยการตอบสนองเชิงนโยบายอย่างเป็นระบบ

ภาพที่ 1: เส้นเวลาวิวัฒนาการของแคมเปญ Mustang Panda ระหว่างปี 2021–2026 จุดสีแดงคือปฏิบัติการที่เชื่อมโยงกับประเทศไทยโดยตรง จะเห็นว่าความถี่ของการโจมตีที่พุ่งเป้าไทยเพิ่มขึ้นอย่างชัดเจนตั้งแต่ปลายปี 2024 เป็นต้นมา
1. รู้จักกลุ่ม Mustang Panda (Threat Actor Profile)
1.1 ชื่อเรียกและการเชื่อมโยงกับรัฐจีน
Mustang Panda เป็นกลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT — Advanced Persistent Threat) ที่นักวิจัยและบริษัทข่าวกรองภัยคุกคามหลายแห่งเชื่อมโยงกับสาธารณรัฐประชาชนจีน กลุ่มนี้เคลื่อนไหวมาตั้งแต่ราวปี 2014 และเป็นที่รู้จักภายใต้ชื่อจำนวนมากตามระบบตั้งชื่อของแต่ละบริษัท ได้แก่ Bronze President, TA416, RedDelta, Stately Taurus (Palo Alto Unit 42), Earth Preta (Trend Micro), FireAnt, Camaro Dragon, HoneyMyte (Kaspersky), Polaris, Twill Typhoon (Microsoft), TEMP.Hex และ Hive0154 (IBM X-Force) โดย MITRE ATT&CK จัดกลุ่มนี้ไว้ที่รหัส G0129 การมีชื่อเรียกจำนวนมากสะท้อนว่ากลุ่มนี้ถูกติดตามและวิเคราะห์อย่างเข้มข้นจากหลายทีมทั่วโลกมานานกว่าทศวรรษ
พันธกิจหลักของกลุ่มคือ การจารกรรมไซเบอร์เพื่อเก็บข่าวกรอง (cyber espionage) ที่สอดคล้องกับผลประโยชน์ของรัฐจีน เป้าหมายจึงกระจุกตัวอยู่ที่หน่วยงานรัฐบาล องค์กรพัฒนาเอกชน (NGO) องค์กรด้านนโยบายต่างประเทศ ผู้ให้บริการโทรคมนาคม และโครงสร้างพื้นฐานสำคัญ ครอบคลุมพื้นที่เอเชีย ยุโรป และสหรัฐฯ โดยเอเชียตะวันออกเฉียงใต้เป็นภูมิภาคที่ได้รับผลกระทบหนักที่สุดอย่างต่อเนื่อง
1.2 เป้าหมายเชิงยุทธศาสตร์และความเชื่อมโยงกับภูมิรัฐศาสตร์
รูปแบบการเลือกเป้าหมายของ Mustang Panda สะท้อนวาระทางยุทธศาสตร์ที่ชัดเจน กลุ่มนี้มักโจมตีในจังหวะที่มีเหตุการณ์ทางการทูตหรือความตึงเครียดทางภูมิรัฐศาสตร์ และเลือกเหยื่อที่ถือครองข้อมูลอ่อนไหวด้านนโยบายและความมั่นคง ตัวอย่างที่ชัดเจนคือแคมเปญเดือนมิถุนายน 2569 ที่ Acronis เปิดโปง ซึ่งใช้ล่อ (lure) เป็นเอกสารบันทึกความเข้าใจ (MOU) ระหว่างสถาบันของอินเดียกับไต้หวัน และเอกสารข้อเสนอความร่วมมือด้านพลังงานน้ำ (hydropower) แสดงให้เห็นว่ากลุ่มนี้ต้องการข่าวกรองเกี่ยวกับความสัมพันธ์ด้านกลาโหมและแผนพลังงานของประเทศคู่แข่งเชิงยุทธศาสตร์ของจีน
ความสนใจของกลุ่มที่เชื่อมโยงจีนต่อภาคพลังงานในภูมิภาคนี้มีมายาวนาน ย้อนไปได้ถึงแคมเปญ RedEcho ในปี 2021 ที่โจมตีโครงข่ายไฟฟ้าของอินเดียด้วยมัลแวร์ ShadowPad สำหรับประเทศไทยซึ่งมีบทบาทเป็นศูนย์กลางการทูตของอาเซียน มีชายแดนติดกับประเทศเพื่อนบ้านที่จีนมีผลประโยชน์สูง และมีโครงการพลังงานข้ามพรมแดนหลายโครงการ จึงตกอยู่ในกลุ่มเป้าหมายที่ตรงกับวาระข่าวกรองของกลุ่มนี้อย่างยิ่ง
2. วิวัฒนาการของแคมเปญ 2021–2026
พัฒนาการของ Mustang Panda ในช่วงห้าปีที่ผ่านมาแสดงให้เห็นกลุ่มที่ “ปรับตัวเร็ว” และ “ไม่เคยหยุดนิ่ง” แม้จะถูกปราบปรามครั้งใหญ่ ในช่วงต้นปี 2025 หน่วยบังคับใช้กฎหมายระหว่างประเทศนำโดย FBI และกระทรวงยุติธรรมสหรัฐฯ ได้ดำเนินปฏิบัติการทลายโครงสร้างพื้นฐานมัลแวร์ PlugX ของกลุ่มนี้ครั้งใหญ่ โดยสั่งให้มัลแวร์ลบตัวเองออกจากคอมพิวเตอร์หลายพันเครื่องในสหรัฐฯ แต่เพียงไม่กี่เดือนต่อมากลุ่มนี้ก็กลับมาพร้อมเครื่องมือใหม่ ทั้งหนอน USB ชื่อ SnakeDisk และแบ็กดอร์ LOTUSLITE เพื่อเปิดปฏิบัติการรอบใหม่ ความสามารถในการฟื้นตัวนี้เองที่ทำให้กลุ่มนี้เป็นภัยที่ต้องเฝ้าระวังอย่างต่อเนื่อง ไม่ใช่ภัยที่จะหมดไปจากการปราบปรามครั้งเดียว
ในมิติของเครื่องมือ กลุ่มนี้เดินหน้ายกระดับความซับซ้อนอย่างสม่ำเสมอ จากมัลแวร์ที่รันบนดิสก์ธรรมดา สู่การรันในหน่วยความจำล้วน ๆ (in-memory) และล่าสุดคือการใช้ รูทคิตระดับเคอร์เนล (kernel-mode rootkit) ที่ทำงานลึกในระดับระบบปฏิบัติการเพื่อซ่อนตัวจากเครื่องมือรักษาความปลอดภัย ในเดือนธันวาคม 2568 Kaspersky เปิดเผยว่ากลุ่มนี้ใช้ไดรเวอร์อันตรายชื่อ ProjectConfiguration.sys ที่ลงลายเซ็นด้วยใบรับรองดิจิทัลที่ถูกขโมยหรือรั่วไหลมาจากบริษัท Guangzhou Kingteller Technology (บริษัทจีนที่ทำธุรกิจตู้เอทีเอ็ม) เพื่อโหลดแบ็กดอร์ TONESHELL เข้าสู่กระบวนการของระบบ นับเป็นครั้งแรกที่ TONESHELL ถูกส่งผ่านตัวโหลดระดับเคอร์เนล และแคมเปญนี้พุ่งเป้าไปที่หน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้และเอเชียตะวันออก โดยเฉพาะ เมียนมาและไทย
ในเดือนมกราคม 2569 Kaspersky รายงานต่อว่ากลุ่มนี้อัปเกรดแบ็กดอร์ COOLCLIENT ใช้โจมตีหน่วยงานรัฐในเมียนมา มองโกเลีย มาเลเซีย และรัสเซีย พร้อมปล่อยโปรแกรมขโมยข้อมูล (stealer) ที่มุ่งเป้าภาครัฐใน เมียนมา มาเลเซีย และไทย เพื่อดูดรหัสผ่านจากเบราว์เซอร์ Chrome, Edge และเบราว์เซอร์ตระกูล Chromium อื่น ๆ ทั้งหมดนี้สะท้อนว่าปฏิบัติการต่อไทยไม่ใช่เหตุการณ์โดดเดี่ยว แต่เป็นส่วนหนึ่งของแคมเปญที่ดำเนินอย่างต่อเนื่องและเป็นระบบ
3. ยุทธวิธี เทคนิค และเครื่องมือ (Tactics, Techniques & Procedures)
3.1 ห่วงโซ่การบุกรุกโดยรวม
แม้เครื่องมือจะเปลี่ยนไปตามยุค แต่โครงสร้างการโจมตีของ Mustang Panda มีรูปแบบที่คงเส้นคงวา เริ่มจากการเข้าถึงเบื้องต้นผ่านอีเมลหลอกลวงแบบเจาะจงเป้าหมาย (spear-phishing) ที่แนบไฟล์บีบอัด ZIP หรือ RAR การปลอมเป็นหน้าต่างอัปเดตเบราว์เซอร์ หรือการแพร่ผ่านหนอน USB จากนั้นใช้ไฟล์ทางลัด (LNK) หรือตัวติดตั้งที่ซ่อนอยู่ในไฟล์ที่ดูเหมือนรูปภาพ เพื่อเริ่มห่วงโซ่การทำงาน แล้วใช้ DLL sideloading ผ่านไบนารีที่มีลายเซ็นถูกต้องในการโหลดเพย์โหลด (payload) เข้าหน่วยความจำ ก่อนจะฝังตัวถาวรและเชื่อมต่อเซิร์ฟเวอร์สั่งการ (C2)

ภาพที่ 2: ห่วงโซ่การบุกรุกทั่วไปของ Mustang Panda ตั้งแต่การเข้าถึงเบื้องต้นไปจนถึงการจารกรรมข้อมูล จุดที่ยากต่อการตรวจจับที่สุดคือขั้น DLL sideloading ที่ใช้ไบนารีมีลายเซ็นถูกต้อง และขั้นสั่งการผ่านบริการคลาวด์ที่ถูกกฎหมาย
3.2 DLL Side-loading ผ่านไบนารีที่มีลายเซ็น — ลายเซ็นประจำตัวของกลุ่ม
เทคนิคที่เป็นเอกลักษณ์ที่สุดของ Mustang Panda คือการนำโปรแกรมของบริษัทที่ถูกต้องตามกฎหมายมาใช้เป็น “ฉากบังหน้า” ในการโหลด DLL อันตราย เนื่องจากไฟล์โปรแกรมหลักมีลายเซ็นดิจิทัลจากผู้ผลิตของแท้ ระบบป้องกันจึงมักปล่อยผ่านโดยไม่แจ้งเตือน ตลอดปี 2021–2025 กลุ่มนี้นำไบนารีที่มีลายเซ็นของผลิตภัณฑ์หลายรายมาใช้ในทางที่ผิด ได้แก่ G DATA AntiVirus (Avk.exe), Bitdefender (qutppy.exe), VLC Media Player (vlc.exe ที่เปลี่ยนชื่อเป็น googleupdate.exe), Ulead PhotoImpact (olreg.exe), Sangfor (sang.exe) รวมถึง Solid PDF Creator และ Citrix Receiver ในแคมเปญโจมตีอินเดียเมื่อกลางปี 2569
กรณีศึกษาที่ชัดเจนคือแคมเปญ PlugX ที่ BlueCyber วิเคราะห์ในเดือนมิถุนายน 2569 ซึ่งเริ่มจากหน้าต่างอัปเดตเบราว์เซอร์ปลอมสไตล์ Adobe Acrobat เมื่อเหยื่อคลิก ตัว dropper จะดาวน์โหลดไฟล์ที่ดูเหมือนรูป JPEG แต่แท้จริงคือตัวติดตั้ง MSI ที่วางไฟล์สามตัว (Avk.exe, Avk.dll, AVKTray.dat) โดย Avk.exe ซึ่งเป็นไบนารีของ G DATA ที่ถูกต้องถูกใช้โหลด DLL อันตราย แล้วถอดรหัสเพย์โหลดหลายชั้น (XOR ตามด้วย RC4) ก่อนแมป PlugX เข้าหน่วยความจำ เชื่อมต่อ C2 ที่ fruitbrat[.]com ผ่าน HTTPS ที่ปลอมทราฟฟิกให้เหมือนเบราว์เซอร์ Microsoft Edge
3.3 การรันในหน่วยความจำและรูทคิตระดับเคอร์เนล
แนวโน้มสำคัญคือการหลบเลี่ยงการตรวจจับที่ลึกขึ้นเรื่อย ๆ เพย์โหลดของกลุ่มนี้มักถูกแมปเข้าหน่วยความจำโดยตรงโดยไม่เขียนเป็นไฟล์รันได้ปกติบนดิสก์ ทำให้เครื่องมือสแกนไฟล์แบบดั้งเดิมมองไม่เห็น และล่าสุดกลุ่มนี้ยกระดับไปสู่การใช้ไดรเวอร์รูทคิตระดับเคอร์เนลที่ลงทะเบียนเป็น minifilter driver เพื่อฉีดแบ็กดอร์เข้าสู่กระบวนการของระบบและปกป้องไฟล์ กระบวนการ และรีจิสทรีคีย์ของมัลแวร์จากการตรวจสอบ การป้องกันในระดับนี้จำเป็นต้องอาศัยการวิเคราะห์หน่วยความจำ (memory forensics) มากกว่าการพึ่งพาแอนติไวรัสทั่วไป
3.4 การใช้บริการคลาวด์ที่ถูกกฎหมายเป็นช่องทางสั่งการ
จุดที่ท้าทายที่สุดต่อการป้องกันคือการที่กลุ่มนี้เปลี่ยนบริการคลาวด์ยอดนิยมให้กลายเป็นช่องทางสั่งการ ในแคมเปญเดือนมิถุนายน 2569 Acronis พบเครื่องมือใหม่ชื่อ ZOHOMURK ที่ฝังข้อมูลรับรอง (credential) แบบ OAuth ของ Zoho ไว้ในตัว แล้วใช้บัญชี Zoho WorkDrive ที่ผู้โจมตีควบคุมเป็นจุดรับส่งข้อมูลลับ (dead drop) โดยอ่านคำสั่งจากโฟลเดอร์ inbox และเขียนข้อมูลที่ขโมยมาไว้ในโฟลเดอร์ outbox ทำให้ทราฟฟิกอันตรายดูเหมือนกิจกรรมคลาวด์ทั่วไป นอกจาก Zoho แล้ว กลุ่มนี้ยังเคยใช้ Google Drive และ Dropbox ในลักษณะเดียวกัน ซึ่งเป็นปัญหาใหญ่สำหรับองค์กรที่อนุญาตทราฟฟิกไปยังบริการคลาวด์ยอดนิยมโดยไม่ตรวจสอบเชิงลึก
3.5 คลังเครื่องมือและความสามารถ

ภาพที่ 3: ภาพรวมคลังมัลแวร์ของ Mustang Panda ในช่วงปี 2024–2026 จำแนกตามความสามารถ ช่องสีแดงคือเทคนิคที่เป็นลายเซ็นเด่นของแต่ละเครื่องมือ จะเห็นว่ากลุ่มนี้มีเครื่องมือครบทุกบทบาท ตั้งแต่หนอนแพร่ผ่าน USB ไปจนถึงแบ็กดอร์ที่สั่งการผ่านคลาวด์
คลังเครื่องมือของกลุ่มนี้ครอบคลุมทุกบทบาทของการโจมตี แบ็กดอร์หลักได้แก่ PlugX (เครื่องมือประจำตัวมายาวนาน), TONESHELL หรือ TOnePipeShell (ปัจจุบันสื่อสารผ่าน WebSocket บน HTTPS และรองรับพร็อกซีองค์กร), COOLCLIENT (เน้นขโมยไฟล์ บันทึกคีย์ และดักคลิปบอร์ด), PUBLOAD, Yokai และ LOTUSLITE ส่วนตัวโหลดและตัวแพร่กระจายได้แก่ SHARDLOADER, Claimloader, MINIRECON (เวอร์ชันปรับปรุงของ Toneshell) และหนอน USB อย่าง HIUPAN (หรือ USBFect/MISTCLOAK), TONEDISK และ SnakeDisk เสริมด้วยโปรแกรมขโมยรหัสผ่านเบราว์เซอร์หลายตัว การมีเครื่องมือหลากหลายและเปลี่ยนสลับได้บ่อยทำให้การป้องกันด้วยค่าตัวบ่งชี้การบุกรุก (IoC) รายตัวมีประสิทธิภาพจำกัด และต้องหันไปเน้นการตรวจจับพฤติกรรมทั้งห่วงโซ่แทน
4. ผลกระทบและความเสี่ยงต่อประเทศไทยโดยตรง
4.1 หลักฐานของทีมย่อยที่อุทิศให้ประเทศไทย
ประเด็นที่สำคัญที่สุดสำหรับความมั่นคงของชาติคือ นักวิจัยจาก IBM X-Force ประเมินว่า Mustang Panda น่าจะมี ทีมย่อยที่มุ่งเน้นการโจมตีประเทศไทยโดยเฉพาะ ข้อสรุปนี้มาจากการพบมัลแวร์และเป้าหมายที่เจาะจงไทยหลายกรณีต่อเนื่องกัน ไม่ใช่การโจมตีแบบหว่านทั่วภูมิภาค การมีทีมที่อุทิศให้ประเทศใดประเทศหนึ่งเป็นสัญญาณว่ากลุ่มนี้ให้ความสำคัญเชิงยุทธศาสตร์กับไทยในระดับที่สูงกว่าปกติ

ภาพที่ 4: ลำดับเหตุการณ์ที่ Mustang Panda พุ่งเป้าประเทศไทยโดยตรงระหว่างปลายปี 2024 ถึงปี 2026 ความถี่และความหลากหลายของเป้าหมาย (เจ้าหน้าที่ระดับสูง หน่วยงานบังคับใช้กฎหมาย ภาครัฐทั่วไป) บ่งชี้ถึงปฏิบัติการที่จัดตั้งอย่างเป็นระบบ
4.2 SnakeDisk — หนอน USB ที่ทำงานเฉพาะบนไอพีของไทย
ในเดือนกันยายน 2568 IBM X-Force เปิดเผย (และ ThaiCERT ออกประกาศเตือน) ว่ากลุ่มนี้พัฒนาหนอน USB ตัวใหม่ชื่อ SnakeDisk ที่มีคุณสมบัติพิเศษคือ ถูกตั้งค่าให้ทำงานเฉพาะบนเครื่องที่มีที่อยู่ไอพีอยู่ในประเทศไทยเท่านั้น ซึ่งเป็นการยืนยันอย่างชัดเจนว่าไทยคือเป้าหมายหลักของแคมเปญนี้ SnakeDisk แพร่กระจายผ่านอุปกรณ์ USB โดยย้ายไฟล์เดิมของเหยื่อไปซ่อนในโฟลเดอร์ย่อยที่ถูกซ่อนไว้ แล้วสร้างไฟล์ล่อชื่อ USB.exe เพื่อหลอกให้เหยื่อเปิด เมื่อทำงานแล้วจะคืนไฟล์เดิมกลับมาเพื่อลดความผิดปกติ ทำให้ตรวจจับได้ยาก และปล่อยแบ็กดอร์ Yokai เพื่อควบคุมเครื่องจากระยะไกล
จุดที่ต้องเน้นย้ำสำหรับหน่วยงานความมั่นคงคือ หนอน USB เป็นภัยที่ข้ามผ่านการป้องกันแบบ air-gap (ระบบที่ตัดขาดจากอินเทอร์เน็ต) ได้ ซึ่งหมายความว่าแม้แต่ระบบที่แยกออกจากเครือข่ายเพื่อความปลอดภัย เช่น ระบบควบคุมในโครงสร้างพื้นฐานสำคัญหรือระบบงานลับ ก็ยังมีความเสี่ยงหากมีการใช้ USB ร่วมกัน
4.3 การเจาะระบบที่เชื่อมโยงสำนักงานตำรวจแห่งชาติ
ในช่วงปลายปี 2568 ทีม Cado Security (ปัจจุบันเป็นส่วนหนึ่งของ Darktrace) เปิดโปงแคมเปญที่พุ่งเป้าสำนักงานตำรวจแห่งชาติของไทย โดยใช้ไฟล์ RAR ที่มีเนื้อหาภาษาไทยเกี่ยวกับความร่วมมือด้านการฝึกอบรมกับ FBI เป็นล่อ ภายในมีไฟล์ทางลัด (LNK) ที่เมื่อเปิดจะเรียกใช้โปรแกรม ftp.exe ของระบบ แล้วประมวลผลคำสั่งที่ซ่อนอยู่ในไฟล์ PDF ปลอมเสมือนเป็นสคริปต์ FTP เพื่อติดตั้งแบ็กดอร์ Yokai การใช้ธีมความร่วมมือกับหน่วยงานบังคับใช้กฎหมายต่างชาติเป็นล่อ สะท้อนถึงความเข้าใจบริบทของเป้าหมายอย่างลึกซึ้ง และการมุ่งเป้าไปที่หน่วยงานความมั่นคงโดยตรง Cado ยังระบุว่าการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญที่ใหญ่กว่าซึ่งมุ่งเป้าเจ้าหน้าที่ไทยหลายรายในช่วงเวลาดังกล่าว และแบ็กดอร์ Yokai เคยถูกใช้โจมตีเจ้าหน้าที่ระดับสูงของไทยมาแล้วตั้งแต่ปลายปี 2024
4.4 ภาคส่วนที่มีความเสี่ยงสูงและเหตุผลเชิงยุทธศาสตร์
จากรูปแบบการโจมตีทั้งหมด ภาคส่วนของไทยที่มีความเสี่ยงสูงที่สุดคือหน่วยงานราชการโดยเฉพาะที่เกี่ยวข้องกับนโยบายต่างประเทศและความมั่นคง หน่วยงานบังคับใช้กฎหมายและข่าวกรอง องค์กรด้านโครงสร้างพื้นฐานสำคัญโดยเฉพาะภาคพลังงาน และองค์กรที่มีดีลความร่วมมือข้ามพรมแดนซึ่งอาจเป็นที่สนใจของปักกิ่ง เหตุผลเชิงยุทธศาสตร์ที่ทำให้ไทยเป็นเป้าหมายสำคัญได้แก่ บทบาทของไทยในฐานะศูนย์กลางการทูตอาเซียน ที่ตั้งทางภูมิศาสตร์ที่ประชิดประเทศเพื่อนบ้านซึ่งจีนมีผลประโยชน์สูง โครงการพลังงานและโครงสร้างพื้นฐานข้ามพรมแดนที่เชื่อมโยงภูมิภาคลุ่มน้ำโขง และความสัมพันธ์ที่ไทยรักษาไว้กับทั้งจีนและสหรัฐฯ ซึ่งทำให้ข้อมูลภายในของไทยมีค่าต่อการประเมินท่าทีทางการทูต
5. การประเมินเชิงยุทธศาสตร์ต่อความมั่นคงของชาติ
เมื่อมองภาพรวม ภัยจาก Mustang Panda ต่อประเทศไทยมีลักษณะเฉพาะที่แตกต่างจากภัยไซเบอร์ทั่วไปสามประการ ประการแรก นี่คือภัยที่ มุ่งเป้าอธิปไตยทางข้อมูล ไม่ใช่ผลประโยชน์ทางการเงิน เป้าหมายของกลุ่มคือการเข้าถึงข้อมูลลับด้านนโยบาย ความมั่นคง และการทูตในระยะยาว ซึ่งความเสียหายไม่ได้ปรากฏเป็นตัวเงินทันที แต่บ่อนทำลายความได้เปรียบเชิงยุทธศาสตร์ของประเทศอย่างเงียบ ๆ และประเมินค่าได้ยาก
ประการที่สอง เป็นภัยที่ ออกแบบมาเพื่ออยู่ในระบบระยะยาวโดยไม่ถูกตรวจพบ ด้วยเทคนิคการพรางตัวที่ก้าวหน้าอย่างรูทคิตระดับเคอร์เนล การรันในหน่วยความจำ และการสั่งการผ่านคลาวด์ที่ถูกกฎหมาย องค์กรที่พึ่งพาเพียงแอนติไวรัสและไฟร์วอลล์แบบดั้งเดิมอาจถูกฝังตัวเป็นเดือนหรือเป็นปีโดยไม่รู้ตัว หลักการตั้งรับที่เหมาะสมจึงต้องตั้งอยู่บนสมมติฐานว่า “อาจถูกเจาะแล้ว” (assume breach) และเน้นการล่าภัยเชิงรุก
ประการที่สาม เป็นภัยที่ ฟื้นตัวได้และปรับตัวเร็ว ดังที่เห็นจากการที่กลุ่มนี้กลับมาพร้อมเครื่องมือใหม่ภายในไม่กี่เดือนหลังถูกปราบปรามครั้งใหญ่ การรับมือจึงไม่สามารถอาศัยมาตรการครั้งเดียวจบ แต่ต้องเป็นการเฝ้าระวังและปรับตัวอย่างต่อเนื่อง ที่สำคัญ การที่กลุ่มนี้จัดตั้งทีมย่อยที่อุทิศให้ไทยโดยเฉพาะ ควรถูกตีความในระดับนโยบายว่าประเทศไทยได้กลายเป็น “เป้าหมายถาวร” ในแผนที่ข่าวกรองไซเบอร์ของรัฐผู้สนับสนุนกลุ่มนี้ ไม่ใช่เป้าหมายชั่วคราวที่จะหมดความสนใจไปเอง
6. ข้อเสนอเชิงยุทธศาสตร์และการรับมือ
ข้อเสนอต่อไปนี้จัดลำดับตามความเร่งด่วน เพื่อให้หน่วยงานความมั่นคง ผู้กำหนดนโยบาย และองค์กรโครงสร้างพื้นฐานสำคัญของไทยนำไปปรับใช้
6.1 การดำเนินการเร่งด่วน (0–30 วัน)
ล่าภัยเชิงรุกด้วยตัวบ่งชี้ที่รู้แล้ว หน่วยงานรัฐ หน่วยงานความมั่นคง และองค์กรพลังงานควรเร่งตรวจค้น (threat hunting) หาร่องรอยของกลุ่มนี้ทันที โดยเน้นการตรวจหาชุดไฟล์ต้องสงสัยที่มากับ DLL sideloading (เช่น Avk.exe/Avk.dll/AVKTray.dat), การเชื่อมต่อไปยังโดเมน C2 ที่รู้แล้ว, ไดรเวอร์ผิดปกติที่ลงลายเซ็นด้วยใบรับรองของ Guangzhou Kingteller และพฤติกรรมของกระบวนการที่ไม่ใช่เบราว์เซอร์แต่กลับเรียกใช้ API ของบริการคลาวด์อย่าง Zoho
คุมเข้มการใช้อุปกรณ์ USB จากภัย SnakeDisk ที่เจาะจงไทย องค์กรควรบังคับใช้นโยบายควบคุมสื่อบันทึกแบบพกพาทันที ห้ามใช้ USB ที่ไม่ทราบแหล่งที่มา สแกนอุปกรณ์ทุกครั้งก่อนใช้ และพิจารณาปิดการทำงานอัตโนมัติของ USB บนเครื่องที่จัดการข้อมูลอ่อนไหว โดยเฉพาะระบบที่แยก air-gap ไว้
เฝ้าระวังล่อที่อิงประเด็นภูมิรัฐศาสตร์ อบรมเจ้าหน้าที่ให้ระวังอีเมลและไฟล์แนบที่อ้างอิงประเด็นความร่วมมือระหว่างประเทศ การทูต พลังงาน หรือการฝึกอบรมกับหน่วยงานต่างชาติ ซึ่งเป็นธีมล่อที่กลุ่มนี้ใช้บ่อย รวมถึงระวังหน้าต่างอัปเดตเบราว์เซอร์ปลอมที่ไม่ได้มาจากช่องทางทางการ
6.2 การปรับปรุงเชิงกระบวนการ (1–3 เดือน)
ยกระดับการตรวจสอบทราฟฟิกคลาวด์ เนื่องจากกลุ่มนี้ใช้ Zoho WorkDrive, Google Drive และ Dropbox เป็นช่องทางสั่งการ องค์กรควรวางระบบตรวจสอบพฤติกรรมการใช้คลาวด์เชิงลึก แจ้งเตือนเมื่อกระบวนการที่ไม่ควรเชื่อมต่อคลาวด์กลับมีการเรียก API และทบทวนนโยบายที่อนุญาตทราฟฟิกไปยังบริการคลาวด์ยอดนิยมโดยไม่ตรวจสอบ
ลงทุนในการตรวจจับระดับหน่วยความจำและเคอร์เนล เพราะมัลแวร์ของกลุ่มนี้รันในหน่วยความจำและใช้รูทคิตระดับเคอร์เนล องค์กรควรใช้เครื่องมือตรวจจับและตอบสนองที่ปลายทาง (EDR) ที่สามารถวิเคราะห์พฤติกรรมระดับหน่วยความจำ ตรวจสอบการโหลดไดรเวอร์ที่ผิดปกติ และเฝ้าระวังไบนารีที่มีลายเซ็นถูกต้องแต่มีพฤติกรรมน่าสงสัย (living-off-the-land)
สร้างกระบวนการเฝ้าระวังการฝังตัวถาวร ตรวจสอบ Run registry key และ scheduled task อย่างสม่ำเสมอ (เช่น task ชื่อ SolidPDFPcl2Bmp ที่พบในแคมเปญอินเดีย) เพื่อจับกลไกฝังตัวที่กลุ่มนี้ใช้ซ้ำ
6.3 การเตรียมการเชิงยุทธศาสตร์ (3–12 เดือน)
พัฒนากลไกแบ่งปันข่าวกรองภัยระดับชาติ เนื่องจากไทยถูกจัดเป็นเป้าหมายถาวรของกลุ่มนี้ หน่วยงานความมั่นคงควรจัดตั้งหรือเสริมความแข็งแกร่งให้กลไกแบ่งปันตัวบ่งชี้การบุกรุกและข่าวกรองภัยระหว่างหน่วยงานรัฐ ภาคโครงสร้างพื้นฐานสำคัญ และพันธมิตรระหว่างประเทศ ผ่านช่องทางอย่าง ThaiCERT เพื่อให้การตรวจพบในองค์กรหนึ่งกลายเป็นเกราะป้องกันให้ทั้งประเทศ
ยึดหลัก Assume Breach และ Zero Trust ปรับสถาปัตยกรรมความปลอดภัยของหน่วยงานสำคัญให้ตั้งอยู่บนสมมติฐานว่าผู้โจมตีอาจอยู่ในระบบแล้ว ด้วยการแบ่งส่วนเครือข่าย (segmentation) จำกัดสิทธิ์ตามหลักสิทธิ์น้อยที่สุด (least privilege) และตรวจสอบตัวตนอย่างต่อเนื่อง เพื่อจำกัดความเสียหายและการเคลื่อนตัวด้านข้างเมื่อถูกเจาะ
บูรณาการมิติไซเบอร์เข้ากับยุทธศาสตร์ความมั่นคงแห่งชาติ ผู้กำหนดนโยบายควรตระหนักว่าการจารกรรมไซเบอร์โดยกลุ่มที่รัฐหนุนหลังเป็นภัยความมั่นคงที่มีมิติทางการทูตและภูมิรัฐศาสตร์ ไม่ใช่เพียงปัญหาทางเทคนิคของฝ่ายไอที การรับมือจึงต้องประสานระหว่างหน่วยงานความมั่นคง หน่วยข่าวกรอง กระทรวงการต่างประเทศ และหน่วยงานกำกับดูแลไซเบอร์ พร้อมพิจารณามิตินี้ในการดำเนินความสัมพันธ์ระหว่างประเทศ
7. บทสรุปและมุมมองไปข้างหน้า (Outlook)
Mustang Panda เป็นตัวอย่างที่ชัดเจนที่สุดกลุ่มหนึ่งของภัยจารกรรมไซเบอร์ที่รัฐหนุนหลังซึ่งกำลังเคลื่อนเข้ามาประชิดประเทศไทยมากขึ้นทุกที บทเรียนสำคัญที่สุดจากการวิเคราะห์ฉบับนี้คือ ประเทศไทยไม่ได้เป็นเพียงหนึ่งในเป้าหมายภูมิภาคที่ถูกโจมตีโดยบังเอิญอีกต่อไป แต่มีหลักฐานหนักแน่นว่ากลุ่มนี้ให้ความสำคัญกับไทยในระดับที่จัดตั้งทีมย่อยและพัฒนามัลแวร์ที่เจาะจงไทยโดยเฉพาะ ตั้งแต่ SnakeDisk ที่ทำงานเฉพาะบนไอพีของไทย ไปจนถึงการเจาะหน่วยงานบังคับใช้กฎหมายและเจ้าหน้าที่ระดับสูง
แนวโน้มที่ควรจับตาต่อไปคือ การที่กลุ่มนี้จะยกระดับเทคนิคการพรางตัวให้ลึกและตรวจจับยากยิ่งขึ้น การใช้บริการคลาวด์และปัญญาประดิษฐ์ (AI) มาเสริมการโจมตีและการต้านการวิเคราะห์ และความต่อเนื่องของปฏิบัติการที่พุ่งเป้าโครงสร้างพื้นฐานพลังงานและหน่วยงานความมั่นคงในภูมิภาคลุ่มน้ำโขง สำหรับหน่วยงานและองค์กรของไทย การเริ่มดำเนินการตามข้อเสนอในรายงานฉบับนี้ตั้งแต่วันนี้ ทั้งการล่าภัยเชิงรุก การควบคุมสื่อพกพา การตรวจสอบทราฟฟิกคลาวด์ และการยกระดับความร่วมมือระดับชาติ จะเป็นก้าวสำคัญในการปกป้องทั้งองค์กรของตนเองและอธิปไตยทางข้อมูลของประเทศจากภัยที่ตั้งใจเลือกไทยเป็นเป้าหมายอย่างชัดเจนแล้ว
ภาคผนวก ก: การจับคู่กับกรอบ MITRE ATT&CK
| ยุทธวิธี (Tactic) | เทคนิค (Technique) | รายละเอียดที่พบ |
|---|---|---|
| Initial Access | T1566.001 Spearphishing Attachment | ไฟล์ ZIP/RAR แนบอีเมล ธีมภูมิรัฐศาสตร์ |
| Initial Access | T1091 Replication Through Removable Media | หนอน USB: SnakeDisk (เฉพาะไทย), HIUPAN, TONEDISK |
| Execution | T1204.002 User Execution: Malicious File | หน้าต่างอัปเดตเบราว์เซอร์ปลอม, ไฟล์ล่อ USB.exe |
| Defense Evasion | T1574.002 DLL Side-Loading | ไบนารีมีลายเซ็น: G DATA, VLC, Citrix, Solid PDF, Sangfor |
| Defense Evasion | T1553.002 Code Signing (abused) | ใบรับรองที่ถูกขโมยของ Guangzhou Kingteller |
| Defense Evasion | T1620 Reflective Code Loading | แมปเพย์โหลดเข้าหน่วยความจำ ไม่แตะดิสก์ |
| Defense Evasion | T1014 Rootkit | ไดรเวอร์เคอร์เนล ProjectConfiguration.sys |
| Persistence | T1547.001 Registry Run Keys | ฝังตัวผ่าน Run key |
| Persistence | T1053.005 Scheduled Task | task ชื่อ SolidPDFPcl2Bmp |
| Command & Control | T1102 Web Service | Zoho WorkDrive, Google Drive, Dropbox เป็น dead drop |
| Command & Control | T1071.001 Web Protocols | HTTPS :443 ปลอมทราฟฟิกเป็น Microsoft Edge |
| Collection | T1056.001 Keylogging / T1115 Clipboard | COOLCLIENT, TONESHELL |
| Credential Access | T1555.003 Credentials from Web Browsers | โปรแกรมขโมยรหัส Chrome/Edge/Chromium |
| Exfiltration | T1041 Exfiltration Over C2 Channel | ส่งข้อมูลออกผ่านช่องทางคลาวด์ |
ภาคผนวก ข: ตัวบ่งชี้การบุกรุกรวม (Consolidated IoCs)
หมายเหตุ: โดเมนและไอพีถูก defang โดยเจตนา (เช่น
[.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้แปลงกลับเป็นรูปแบบปกติเฉพาะในแพลตฟอร์มข่าวกรองภัยที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
| ประเภท | ตัวบ่งชี้ | คำอธิบาย / แคมเปญ |
|---|---|---|
| Domain (C2) | fruitbrat[.]com | PlugX ผ่าน HTTPS (แคมเปญ fake browser update, มิ.ย. 2569) |
| Domain (C2) | dalerocks[.]com | PlugX variant มุ่งเป้าเวียดนาม (พ.ค. 2569) |
| Domain (C2) | couldinstallup[.]com | แคมเปญ Zoho WorkDrive โจมตีอินเดีย (มิ.ย. 2569) |
| IP Address | 45[.]251[.]243[.]210 | เซิร์ฟเวอร์ส่ง payload (iis.jpg ผ่าน HTTP) |
| File | Avk.exe / Avk.dll / AVKTray.dat | ชุด DLL sideloading ผ่านไบนารี G DATA |
| File | Browser_Updater.exe | dropper ปลอมเป็นอัปเดตเบราว์เซอร์ |
| File | ProjectConfiguration.sys | ไดรเวอร์รูทคิตเคอร์เนลที่โหลด TONESHELL |
| Code-signing cert | Guangzhou Kingteller Technology Co., Ltd | ใบรับรองที่ถูกขโมย/รั่วไหลใช้ลงลายเซ็นไดรเวอร์ |
| Scheduled Task | SolidPDFPcl2Bmp | กลไกฝังตัวถาวรในแคมเปญอินเดีย |
| Behavior | ไฟล์ล่อ USB.exe + โฟลเดอร์ซ่อนบน USB | รูปแบบการแพร่ของหนอน SnakeDisk |
| Behavior | Zoho user agent บนกระบวนการที่ไม่ใช่เบราว์เซอร์ | บ่งชี้การใช้ Zoho WorkDrive เป็น C2 |
| Behavior | SnakeDisk ทำงานเฉพาะไอพีไทย | การกำหนดเป้าหมายเชิงภูมิศาสตร์ที่เจาะจงไทย |
| RC4 Key | VOphJo | คีย์ถอดรหัส config ของ PlugX ขณะ runtime |
แหล่งอ้างอิง
- ThaiCERT — Mustang Panda Deploys SnakeDisk Malware to Target Thai IPs and Deliver Yokai Backdoor
- The Hacker News — Mustang Panda Deploys SnakeDisk USB Worm to Deliver Yokai Backdoor on Thailand IPs
- Darktrace (Cado Security Labs) — Chinese APT Target Royal Thai Police in Malware Campaign
- The Hacker News — Mustang Panda Uses Signed Kernel-Mode Rootkit to Load TONESHELL Backdoor
- Securelist (Kaspersky) — The HoneyMyte APT now protects malware with a kernel-mode rootkit
- The Hacker News — Mustang Panda Deploys Updated COOLCLIENT Backdoor in Government Cyber Attacks
- The Hacker News — Three China-Linked Clusters Target Southeast Asian Government in 2025 Cyber Campaign
- The Hacker News — Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks
- Cyber Security News — Mustang Panda Deploys PlugX RAT Through Multi-Stage LNK and PowerShell Attack Chain
- Picus Security — Breaking Down Mustang Panda (TA416): LOTUSLITE, SnakeDisk, and ToneShellws
- MITRE ATT&CK — Mustang Panda (G0129)
บทวิเคราะห์ฉบับนี้จัดทำโดย Cloud Thunder Threat Intelligence เพื่อประกอบการตัดสินใจเชิงยุทธศาสตร์และความมั่นคงปลอดภัยไซเบอร์ของประเทศ การระบุต้นทางของการโจมตี (attribution) อ้างอิงจากรายงานของบริษัทข่าวกรองภัยและหน่วยงานที่ระบุในแหล่งอ้างอิง ไม่ใช่ข้อสรุปเชิงข่าวกรองอิสระของ Cloud Thunder