จัดทำโดย: Cloud Thunder Threat Intelligence
รอบรายงาน: 1–30 มิถุนายน 2569
ประเภทเอกสาร: รายงานเชิงยุทธศาสตร์และความมั่นคงปลอดภัยไซเบอร์ของชาติ (Strategic Threat Assessment)
ฐานข้อมูล: เหตุการณ์และรายงานภัยคุกคามที่คัดกรองแล้ว 206 เหตุการณ์
บทสรุปเชิงยุทธศาสตร์ (Strategic Summary)
เดือนมิถุนายน 2569 เป็นเดือนที่ปริมาณและความรุนแรงของภัยคุกคามไซเบอร์พุ่งสูงเป็นประวัติการณ์ ด้วยเหตุการณ์ที่คัดกรองแล้วถึง 206 รายการ มากกว่าเดือนพฤษภาคมกว่าเท่าตัว ตัวเลขนี้ไม่ได้สะท้อนเพียงการรายงานที่มากขึ้น แต่สะท้อนการเร่งความเร็วของทั้งระบบนิเวศภัยคุกคาม โดยเฉพาะการที่ปัญญาประดิษฐ์ (AI) เข้ามาเป็นตัวเร่งการค้นพบช่องโหว่และการโจมตีจนกระบวนการป้องกันแบบเดิมแทบตามไม่ทัน เดือนนี้ Microsoft ออกแพตช์แก้ช่องโหว่ถึง 206 รายการในรอบเดียว มากที่สุดในประวัติศาสตร์ และระบุเองว่าจำนวนที่พุ่งขึ้นเป็นผลจาก AI ที่ช่วยค้นช่องโหว่ ขณะที่นักวิจัยใช้ AI agent สแกนซอร์สโค้ด FFmpeg พบ zero-day ถึง 21 รายการด้วยต้นทุนเพียงราว 1,000 ดอลลาร์ นี่คือภาพสะท้อนของยุคใหม่ที่ช่องว่างระหว่างการค้นพบช่องโหว่กับการนำไปใช้โจมตีกำลังหดแคบลงอย่างรวดเร็ว
ภาพรวมของเดือนสามารถสรุปเป็นห้าประเด็นยุทธศาสตร์ที่ผู้กำหนดนโยบายและหน่วยงานด้านความมั่นคงของไทยต้องรับทราบ ประเด็นแรกและสำคัญที่สุดสำหรับความมั่นคงของชาติคือ ปฏิบัติการไซเบอร์ของจีนเคลื่อนไหวหนักที่สุดในรอบหลายเดือน และพุ่งเป้ามาที่เอเชียตะวันออกเฉียงใต้รวมถึงประเทศไทยโดยตรง เดือนนี้พบกลุ่มที่เชื่อมโยงจีนเคลื่อนไหวพร้อมกันไม่ต่ำกว่าสิบกลุ่ม ตั้งแต่การฝังตัวระยะยาว การจารกรรมหน่วยงานรัฐ ไปจนถึงการวางบอตเน็ตเพื่อสแกนหาช่องโหว่ ประเด็นที่สองคือ AI ได้กลายเป็นเครื่องมือโจมตีกระแสหลัก ไม่ใช่เรื่องทดลองอีกต่อไป ทั้งการสร้างมัลแวร์ การเจาะระบบด้วย AI agent และการใช้ความน่าเชื่อถือของแบรนด์ AI เป็นเหยื่อล่อ
ประเด็นที่สามคือ อุปกรณ์ขอบเครือข่ายและ VPN ยังคงเป็นสมรภูมิที่ถูกเจาะมากที่สุด โดยเฉพาะการรั่วไหลของ credential อุปกรณ์ Fortinet ครั้งใหญ่ (FortiBleed) ที่กระทบทั่วโลกรวมถึงไทย และช่องโหว่ที่ถูกโจมตีจริงในอุปกรณ์ Cisco, Ubiquiti, Ivanti และ Oracle ประเด็นที่สี่คือ แรนซัมแวร์และการฉ้อโกงกำลังหลอมรวมกับอาชญากรรมข้ามชาติในภูมิภาค โดยกลุ่มแรนซัมแวร์ The Gentlemen ที่เติบโตเร็วที่สุดมีฐานเหยื่อหลักอยู่ในเอเชียตะวันออกเฉียงใต้และไทย ขณะที่ INTERPOL ชี้ว่าศูนย์หลอกลวงในกัมพูชา ลาว และเมียนมาใช้ AI สร้างความเสียหายจากสแกมสูงถึง 37,000 ล้านดอลลาร์ และประเด็นสุดท้ายคือ การเข้ารหัสยุคหลังควอนตัม (PQC) เข้าสู่วาระบังคับระดับรัฐ เมื่อสหรัฐฯ ออกคำสั่งฝ่ายบริหารกำหนดเส้นตายการเปลี่ยนผ่านภายในปี 2030
สำหรับประเทศไทย เดือนมิถุนายนมีสัญญาณที่ควรถือเป็นการเตือนภัยระดับชาติ ประเทศไทยถูกระบุชื่อเป็นเป้าหมายหรือผู้ได้รับผลกระทบโดยตรงในหลายเหตุการณ์สำคัญ ทั้งการเป็นฐานเหยื่อหลักของแรนซัมแวร์ที่โตเร็วที่สุด การถูกกลุ่มจารกรรมจีนโจมตีหน่วยงานรัฐ การติดสิบอันดับประเทศที่ credential VPN รั่วไหลมากที่สุด และการที่ตำรวจไทยเข้าร่วมปฏิบัติการปราบปรามเครือข่ายฉ้อโกงระดับนานาชาติ ภัยเหล่านี้ไม่ใช่ความเสี่ยงในอนาคต แต่เป็นสถานการณ์ที่เกิดขึ้นแล้วและต้องการการตอบสนองเชิงนโยบายอย่างเป็นระบบ

ภาพที่ 1: การจำแนกเหตุการณ์ภัยคุกคาม 206 รายการในเดือนมิถุนายน 2569 ตามประเด็นหลัก ช่องโหว่ซอฟต์แวร์และอุปกรณ์เป็นหมวดที่มากที่สุด (48 รายการ) รองลงมาคือปฏิบัติการกลุ่มรัฐชาติ (34) และภัยที่เกี่ยวข้องกับ AI (27) สะท้อนว่าองค์กรต้องรับมือหลายแนวรบพร้อมกัน
1. สถานการณ์ภูมิรัฐศาสตร์ไซเบอร์ (Geopolitical Cyber Landscape)
หากเดือนพฤษภาคมแสดงให้เห็นว่าการแข่งขันเชิงภูมิรัฐศาสตร์ย้ายมาสู่ไซเบอร์ เดือนมิถุนายนก็ยืนยันว่าสมรภูมินี้กำลังทวีความเข้มข้นและเคลื่อนเข้าใกล้ประเทศไทยมากขึ้นทุกที เดือนนี้กิจกรรมของกลุ่มรัฐชาติมีความโดดเด่นเป็นพิเศษ โดยเฉพาะจีนที่เคลื่อนไหวหนักที่สุดอย่างเห็นได้ชัด ประเด็นที่ต้องเน้นย้ำสำหรับผู้อ่านในประเทศไทยคือ ปฏิบัติการจำนวนมากในเดือนนี้ไม่ได้พุ่งเป้าไปที่ตะวันตกเท่านั้น แต่มุ่งตรงมาที่เอเชียตะวันออกเฉียงใต้ในฐานะพื้นที่ยุทธศาสตร์ที่ตั้งใจเลือก

ภาพที่ 2: กิจกรรมของกลุ่มภัยคุกคามที่เชื่อมโยงกับรัฐในเดือนมิถุนายน 2569 จีนเป็นผู้เล่นที่เคลื่อนไหวมากที่สุดอย่างชัดเจน โดยพบไม่ต่ำกว่า 6 กลุ่ม/แคมเปญเด่น หลายกลุ่มมีเป้าหมายในเอเชียตะวันออกเฉียงใต้
1.1 จีน — ปฏิบัติการหลากรูปแบบที่พุ่งเป้าอาเซียนและไทย
เดือนมิถุนายนต้องถือว่าเป็น “เดือนของจีน” ในภูมิทัศน์ภัยคุกคาม เพราะปริมาณและความหลากหลายของปฏิบัติการที่เชื่อมโยงจีนสูงอย่างที่ไม่เคยเห็นมาก่อน สิ่งที่น่ากังวลที่สุดสำหรับความมั่นคงของไทยคือรายงานของ Palo Alto Networks Unit 42 ที่เปิดเผยกลุ่ม APT พูดภาษาจีน CL-STA-1062 ซึ่งใช้แบ็กดอร์ตัวใหม่ TinyRCT โจมตีหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ โดยเน้นรัฐวิสาหกิจด้านพลังงานและภาครัฐ เจาะได้อย่างน้อย 10 องค์กรในภูมิภาคช่วงปลายปี 2025 และขโมยซอร์สโค้ดเว็บเซิร์ฟเวอร์ทั้งไดเรกทอรี ควบคู่กันนี้ ESET ยังเปิดเผยว่ากลุ่ม Earth Lusca (FishMonger) จากจีนใช้มัลแวร์ SprySOCKS เวอร์ชัน Windows โจมตีหน่วยงานรัฐใน 4 ประเทศ ซึ่งรวมถึงไทยโดยตรง โดยรุ่นใหม่มี kernel driver ซ่อนตัวระดับ rootkit ทำให้ตรวจจับยากยิ่งขึ้น
นอกเหนือจากการโจมตีที่ระบุไทยชัดเจน เดือนนี้ยังเผยให้เห็นความลึกของการฝังตัวระยะยาวของจีน กลุ่ม Velvet Ant แก้ไขโมดูล PAM และ OpenSSH บนเซิร์ฟเวอร์ Linux เพื่อขโมย credential และเปิดช่องทางลับ ซ่อนตัวมาตั้งแต่ปี 2016 หรือเกือบ 10 ปี สร้าง backdoor ถึง 9 เวอร์ชันในระบบล็อกอินที่ผู้ดูแลแทบไม่เคยตรวจสอบ ทำให้การรีเซ็ตรหัสผ่านไม่ช่วยอะไรเพราะตัวตรวจสอบ credential ถูกควบคุมโดยผู้โจมตีเอง เช่นเดียวกับกลุ่ม VerdantBamboo (WARP PANDA) ที่ใช้มัลแวร์ BRICKSTORM แฝงตัวนานกว่า 18 เดือนบนอุปกรณ์ edge และ NAS ที่ติดตั้ง EDR ไม่ได้ ทั้งสองกรณีตอกย้ำบทเรียนสำคัญว่า กลุ่มรัฐชาติที่มีทรัพยากรสูงสามารถอยู่ในระบบได้เป็นปีโดยไม่ถูกตรวจพบ
ที่สำคัญไม่แพ้กันคือการเปิดโปง “ระบบนิเวศแฮ็กเกอร์รับจ้าง” ของจีน นักวิจัย BindingHook เผยว่าปฏิบัติการไซเบอร์ของจีนได้พัฒนาเป็นระบบเชิงพาณิชย์เต็มรูปแบบ มีบริษัทเอกชน ผู้รับเหมา และนายหน้าข้อมูลร่วมกันทำจารกรรมป้อนหน่วยข่าวกรอง โดยกลุ่มระดับสูงอย่าง Salt Typhoon, Flax Typhoon และ Volt Typhoon ต่างพึ่งพาชั้นพาณิชย์นี้ เอกสารรั่วของ I-Soon เผยการโจมตีรัฐบาลอย่างน้อย 14 ประเทศ ขณะที่ FBI ต้องยึดโดเมนบริษัทที่ปรึกษาปลอมของจีน 13 แห่งที่ใช้หลอกจ้างเจ้าหน้าที่สหรัฐฯ ที่มี security clearance และ Five Eyes ออกเตือนร่วมว่าสายลับจีนใช้ LinkedIn, Indeed และ Upwork ล่อเจ้าหน้าที่ทหาร นี่คือภาพของการจารกรรมที่ดำเนินการในระดับอุตสาหกรรม ไม่ใช่ปฏิบัติการเดี่ยว
1.2 รัสเซีย — จารกรรมสงครามยูเครนและการยึดโครงสร้างพื้นฐาน
รัสเซียยังคงเดินหน้าปฏิบัติการที่ผูกกับสงครามยูเครนอย่างเข้มข้น กลุ่ม Turla (FSB) เปิดตัวแบ็กดอร์ใหม่ STOCKSTAY โจมตีหน่วยงานรัฐและทหารยูเครน โดยใช้เทคนิคที่เป็นลายเซ็นของกลุ่ม คือการยึดโครงสร้างพื้นฐานของยูเครนเอง เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที มาเป็นฐานส่งเพย์โหลด ขณะที่กลุ่ม Gamaredon ยังคงพัฒนาคลังมัลแวร์อย่างต่อเนื่อง พบ 35 แคมเปญ spear-phishing ในปี 2025 พร้อมเครื่องมือ PowerShell ใหม่ 6 ตัว และยังใช้ช่องโหว่ WinRAR (CVE-2025-8088) เป็นอาวุธหลัก
กลุ่ม APT28 (Fancy Bear) ของหน่วยข่าวกรองทหาร GRU ยกระดับการใช้เราเตอร์ SOHO ที่ถูกยึดเป็นโครงสร้างพื้นฐานหลัก โดยเปิดแคมเปญ FrostArmada มุ่งเป้าเราเตอร์ MikroTik และ TP-Link กระทบอุปกรณ์กว่า 18,000 IP ใน 120 ประเทศ และพัฒนาเครื่องมือใหม่ชื่อ LameHug ที่ใช้ AI สร้างคำสั่งโจมตีแบบเรียลไทม์ นอกจากนี้ FBI และ CISA ยังเตือนว่าสายลับรัสเซียปรับเทคนิคหลอกเหยื่อให้ส่งมอบ Signal Backup Recovery Key เพื่อยึดบัญชีแอปแชตเข้ารหัสของเจ้าหน้าที่รัฐ ทหาร และนักข่าว โดยไม่ต้องเจาะการเข้ารหัสเลย แต่ใช้วิศวกรรมสังคมล้วน ๆ สะท้อนว่าแม้แต่แพลตฟอร์มที่ปลอดภัยที่สุดก็ยังถูกโจมตีผ่านจุดอ่อนที่เป็นมนุษย์
1.3 อิหร่านและเกาหลีเหนือ — จารกรรมกลาโหมและการล่าคริปโต
กลุ่มอิหร่านในเดือนนี้เน้นเป้าหมายด้านกลาโหมและสาธารณูปโภค กลุ่ม Screening Serpens (UNC1549) ที่เชื่อมโยง IRGC เพิ่มความซับซ้อนด้วยเทคนิค AppDomainManager Hijacking เพื่อหลบ EDR พัฒนา RAT ใหม่ถึง 6 ตัวในสามเดือน มุ่งเป้าองค์กรด้านอวกาศ กลาโหม และโทรคมนาคมในสหรัฐฯ อิสราเอล และ UAE ขณะที่กลุ่ม Handala ที่เชื่อมโยงหน่วยข่าวกรอง MOIS อ้างเจาะระบบสาธารณูปโภคน้ำประปา California Water Service และปล่อยข้อมูล 5 GB แม้บางคำกล่าวอ้าง (เช่นการเจาะระบบเรดาร์ทหารอิสราเอล) จะถูกตรวจสอบพบว่าเกินจริง แต่ความเคลื่อนไหวสอดคล้องกับจังหวะความตึงเครียดอิสราเอล-อิหร่าน
เกาหลีเหนือยังคงสองภารกิจหลักคือการล่าเงินและการจารกรรมผ่านนักพัฒนา กลุ่ม Sapphire Sleet (BlueNoroff) อยู่เบื้องหลังการโจมตีห่วงโซ่อุปทานของ Mastra AI ที่ทำให้ npm package กว่า 140 ตัวถูกฝังมัลแวร์ โดยยึดบัญชี maintainer แล้วปล่อย infostealer ที่เล็งกระเป๋าคริปโต 166 ตัว ขณะที่แคมเปญ UNK_DeadDrop โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยการหลอกให้โคลน GitHub repository อันตรายแล้วเปิดใน VS Code และกลุ่มเกาหลีเหนือยังพัฒนามัลแวร์ macOS ตัวใหม่ Gaslight ที่โดดเด่นด้วยการฝังข้อความ system ปลอม 38 ข้อความเพื่อทำ prompt injection หลอกเครื่องมือ AI ให้ล้มเลิกการวิเคราะห์ นับเป็นสัญญาณว่าผู้โจมตีเริ่มออกแบบมัลแวร์ให้ต่อต้านการวิเคราะห์ด้วย AI โดยเฉพาะ
1.4 การตอบโต้ระดับนานาชาติ — ปราบปรามเข้มข้นและไทยเข้าร่วม
ด้านการปราบปราม เดือนนี้เห็นความร่วมมือระหว่างประเทศที่เข้มข้นและมีประเทศไทยเข้าร่วมโดยตรง ปฏิบัติการ Disruption Week ภายใต้ Scam Center Strike Force ของกระทรวงยุติธรรมสหรัฐฯ ทลายเครือข่ายฉ้อโกงคริปโตในเอเชียตะวันออกเฉียงใต้ ปิดบัญชีโซเชียลกว่า 1.4 ล้านบัญชี และ ตำรวจไทย (Royal Thai Police) ร่วมปฏิบัติการจับผู้ต้องสงสัย 7 คนในไทย ขณะที่ปฏิบัติการ Operation Endgame ของหน่วยงานยุโรปและสหรัฐฯ ทลายโครงสร้างมัลแวร์ Amadey, StealC และ SocGholish ยึดเซิร์ฟเวอร์หลายร้อยเครื่อง INTERPOL ยังนำปฏิบัติการ Ramz ทลาย Phishing-as-a-Service ชื่อ Sniper Dz จับกุม 201 ราย และที่น่าสนใจเชิงนโยบายคือกรณีศาลแคนาดาอนุญาตให้หน่วยข่าวกรอง CSIS ใช้หมายเข้าลบมัลแวร์บอตเน็ตออกจากอุปกรณ์ในประเทศเป็นครั้งแรก คล้ายปฏิบัติการ FBI ล้าง KV-botnet ของ Volt Typhoon สะท้อนแนวโน้มที่รัฐเริ่มใช้อำนาจเชิงรุกในการกำจัดภัยไซเบอร์
2. แนวโน้มภัยคุกคามหลักและทิศทางของอุตสาหกรรม (Key Threat Trends)
เมื่อมองข้ามเหตุการณ์รายวันไปสู่ภาพเชิงโครงสร้าง เดือนมิถุนายน 2569 เผยให้เห็นแนวโน้มสี่ประการที่จะกำหนดทิศทางความมั่นคงปลอดภัยไซเบอร์ในระยะต่อไป แนวโน้มเหล่านี้เสริมแรงซึ่งกันและกันจนสร้างภูมิทัศน์ที่ท้าทายกว่าที่เคย
2.1 AI กลายเป็นเครื่องมือโจมตีกระแสหลัก ไม่ใช่การทดลองอีกต่อไป
จุดเปลี่ยนที่ชัดเจนที่สุดของเดือนนี้คือ AI ได้ก้าวข้ามจากการเป็นเครื่องมือเสริมไปสู่การเป็นโครงสร้างพื้นฐานของการโจมตี Cato Networks ชี้ถึงปรากฏการณ์ “Zero-Knowledge Threat Actor” — ผู้โจมตีที่แทบไม่มีทักษะเทคนิคแต่อาศัย AI สร้างมัลแวร์ หาช่องโหว่ และวางแผนโจมตีหลายขั้น ขณะที่ Sophos พบผู้โจมตีใช้ชุดเครื่องมือ post-exploitation ที่มี AI agent เป็นตัว orchestrate การค้นหา Active Directory และทดสอบการหลบ EDR อัตโนมัติ ในอีกด้านหนึ่ง AI กำลังเร่งการค้นพบช่องโหว่จนน่าตกใจ การที่ AI agent พบ zero-day 21 รายการใน FFmpeg ด้วยต้นทุน 1,000 ดอลลาร์ และการที่ Microsoft ต้องออกแพตช์ 206 รายการในเดือนเดียวโดยระบุว่าเป็นผลจาก AI สะท้อนว่าหน้าต่างเวลาสำหรับการแพตช์กำลังหดสั้นลงอย่างรุนแรง
มิติที่อันตรายไม่แพ้กันคือการโจมตีที่เล่นกับ “ความไว้วางใจในเครื่องมือ AI” ของนักพัฒนาและองค์กร เดือนนี้พบการโจมตี AI coding agent โดยตรงหลายรูปแบบ ทั้ง Agentjacking ที่ฉีด payload เข้า Sentry error event เพื่อหลอกให้ Claude Code และ Cursor รันโค้ดร้าย (สำเร็จ 85% ใน 100 องค์กร), AutoJack ที่เปลี่ยน AI browsing agent เป็นช่องทางรันโค้ดทางไกล, การโจมตี Microsoft 365 Copilot ผ่าน prompt injection ที่ขโมยอีเมลและรหัส MFA ได้ด้วยคลิกเดียว และแคมเปญฟิชชิงที่ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek รวมถึงการสร้าง workspace ChatGPT ปลอมเพื่อดักข้อมูลที่พนักงานพิมพ์ลง prompt ประเด็นเชิงนโยบายที่ตามมาคือการที่รัฐบาลสหรัฐฯ ออกคำสั่งควบคุมการเข้าถึงโมเดล AI ขั้นสูงของ Anthropic สำหรับชาวต่างชาติ และข้อกล่าวหาว่า Alibaba ลักลอบสกัดความสามารถจากโมเดล Claude ผ่านการโต้ตอบ 28.8 ล้านครั้ง ซึ่งบ่งชี้ว่า AI ได้กลายเป็นสินทรัพย์ทางยุทธศาสตร์ระดับชาติที่มีการควบคุมการส่งออกเช่นเดียวกับอาวุธ
2.2 อุปกรณ์ขอบเครือข่ายและ VPN — จุดที่ถูกเจาะมากที่สุด
ช่องโหว่ซอฟต์แวร์และอุปกรณ์เป็นหมวดที่มากที่สุดของเดือน (48 รายการ) และส่วนใหญ่กระจุกตัวที่อุปกรณ์ขอบเครือข่ายซึ่งเป็นด่านหน้าขององค์กร เหตุการณ์ที่กระทบวงกว้างที่สุดคือ FortiBleed การรั่วไหลของ credential อุปกรณ์ Fortinet VPN กว่า 73,000 URL จาก 194 ประเทศ ในรูปแบบ plaintext กระทบบริษัทชั้นนำระดับโลกและมีประเทศไทยติดสิบอันดับแรก รายงานต่อมาจาก SOCRadar ระบุว่าเบื้องหลังคือ Russian Initial Access Broker ที่ใช้เครื่องมือ FortigateSniffer ดักจับ credential ได้กว่า 110 ล้านรายการจาก FortiGate firewall กว่า 430,000 เครื่อง

ภาพที่ 3: ช่องโหว่ระดับวิกฤต (CVSS ≥ 9.8) ที่เปิดเผยในเดือนมิถุนายน 2569 แถบสีแดงคือช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว ครอบคลุมทั้งอุปกรณ์เครือข่าย ระบบ ERP และแพลตฟอร์มองค์กร
รายการช่องโหว่ที่ถูกโจมตีจริงในเดือนนี้ยาวอย่างน่ากังวล อุปกรณ์ Ubiquiti UniFi (CVE-2026-34908/09/10, CVSS 10.0) ถูกเจาะแบบ zero-day สร้างบัญชีแอดมินปลอม Cisco Catalyst SD-WAN Manager ถูกโจมตีต่อเนื่องเป็นช่องโหว่ตัวที่ 6-7 ของปี Oracle E-Business Suite (CVE-2026-46817, CVSS 9.8) และ Oracle PeopleSoft (ที่กลุ่ม ShinyHunters ใช้เจาะมหาวิทยาลัยกว่า 100 แห่ง) ถูกใช้โจมตีจริง ขณะที่ผู้ผลิตรายใหญ่อย่าง Ivanti (CVSS 10.0), Fortinet, F5, Splunk, Dell และ IBM ต่างมีช่องโหว่ระดับ 9.8 ขึ้นไปในเดือนเดียว บทเรียนเชิงยุทธศาสตร์คือ อุปกรณ์ที่ออกแบบมาเพื่อ “ปกป้อง” องค์กร เช่น VPN, firewall และ ADC กลับกลายเป็นประตูที่ถูกใช้เจาะบ่อยที่สุด และการรั่วไหลของ credential ในระดับ FortiBleed หมายความว่าองค์กรจำนวนมากอาจถูกเจาะไปแล้วโดยไม่รู้ตัว
2.3 การโจมตีห่วงโซ่อุปทานและการล่านักพัฒนา
การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ยังคงระบาดต่อเนื่องและมีความซับซ้อนเพิ่มขึ้น เดือนนี้เวิร์ม Miasma (สายพันธุ์ของ Shai-Hulud) ลุกลามจากแพ็กเกจ npm ของ Red Hat ไปจนถึงรีโพ GitHub ของ Microsoft ถึง 73 รายการใน 4 องค์กร โดยเจาะซ้ำที่ durabletask ที่เคยถูกโจมตีเดือนก่อน บ่งชี้ว่า credential ที่รั่วไม่เคยถูกกู้คืนเต็มที่ ผู้โจมตีพัฒนาเทคนิคใหม่อย่าง Phantom Gyp ที่ใช้ไฟล์ binding.gyp เล็ก ๆ กระตุ้นโค้ดร้ายตอน npm install เพื่อเลี่ยง scanner ที่ตรวจแค่ preinstall/postinstall และแคมเปญเหล่านี้จำนวนมากพุ่งเป้าขโมย credential คลาวด์และ API key ของเครื่องมือ AI (Claude, Gemini, OpenAI) โดยตรง
จุดร่วมที่อันตรายของเดือนนี้คือการที่นักพัฒนากลายเป็นเป้าหมายหลัก ทั้งการฝังมัลแวร์ในส่วนขยาย VS Code, JetBrains Marketplace (15 ปลั๊กอิน AI ปลอม) และ Chrome (ส่วนขยาย AI ที่ดักบทสนทนา) การหลอกให้โคลน repository อันตราย และการปล่อยไฟล์ ZIP ฝังโทรจันบน GitHub กว่า 10,000 repository ที่โคลนประวัติ commit จริงมาสร้างความน่าเชื่อถือ ด้านการป้องกัน GitHub ประกาศว่า npm เวอร์ชัน 12 จะไม่รันสคริปต์ lifecycle จาก dependency โดยอัตโนมัติอีกต่อไป ซึ่งเป็นการเปลี่ยนแปลงเชิงโครงสร้างที่สำคัญ
2.4 แรนซัมแวร์ การฉ้อโกง และการเข้ารหัสยุคหลังควอนตัม
ภูมิทัศน์แรนซัมแวร์เดือนนี้แสดงการรวมตัวของตลาดอย่างชัดเจน รายงาน Q1/2026 พบเหยื่อ 2,122 รายสูงเป็นอันดับ 2 ตลอดกาล โดยกลุ่ม 10 อันดับแรกครองส่วนแบ่ง 71% กลุ่มที่โตเร็วที่สุดคือ The Gentlemen (Phantom Mantis) ที่ขยายเหยื่อ 315% ในไตรมาสเดียว นำโดยอาชญากรชาวรัสเซียที่ใช้ AI ช่วยพัฒนา ransomware และเจรจาค่าไถ่ จุดที่ต้องเน้นเป็นพิเศษสำหรับไทยคือ ESET และ PRODAFT ระบุตรงกันว่า เหยื่อของ The Gentlemen ส่วนใหญ่กระจุกตัวอยู่ในเอเชียตะวันออกเฉียงใต้และประเทศไทย (รายละเอียดในหัวข้อที่ 3) ขณะที่กลุ่มอื่นก็พัฒนาเทคนิคหลบเลี่ยงที่แนบเนียนขึ้น เช่น DragonForce ที่ซ่อน C2 ในโครงสร้าง TURN relay ของ Microsoft Teams
ด้านการฉ้อโกง INTERPOL ออกรายงานประเมินภัยเอเชีย-แปซิฟิกที่ชี้ว่าความสูญเสียจากสแกมที่ใช้ AI ในภูมิภาคสูงถึง 37,000 ล้านดอลลาร์ โดยศูนย์หลอกลวงในกัมพูชา ลาว และเมียนมาใช้แรงงานบังคับและ deepfake หลอกเหยื่อทั่วโลก ซึ่งเป็นภัยที่ประชิดพรมแดนไทยโดยตรง สำหรับแนวโน้มระยะยาว การเข้ารหัสยุคหลังควอนตัม (PQC) ได้เข้าสู่วาระบังคับระดับรัฐเมื่อประธานาธิบดีสหรัฐฯ ลงนามคำสั่งฝ่ายบริหารกำหนดให้หน่วยงานรัฐบาลกลางเปลี่ยนผ่านสู่ PQC ภายในสิ้นปี 2030 เพื่อรับมือภัย “Harvest Now, Decrypt Later” ซึ่งเป็นสัญญาณที่องค์กรไทยที่จัดการข้อมูลลับระยะยาวควรเริ่มเตรียมการตาม
3. ผลกระทบและความเสี่ยงต่อประเทศไทยโดยตรง (Direct Impact on Thailand)
เดือนมิถุนายน 2569 เป็นเดือนที่ประเทศไทยถูกระบุชื่อเป็นเป้าหมายหรือผู้ได้รับผลกระทบโดยตรงในจำนวนเหตุการณ์ที่มากผิดปกติ ต่างจากการเป็นเพียงผู้ได้รับผลกระทบข้างเคียงในภาพรวมโลก ต่อไปนี้คือการประเมินความเสี่ยงที่ผูกกับไทยเรียงตามระดับความรุนแรงเชิงยุทธศาสตร์
3.1 แรนซัมแวร์ The Gentlemen — ไทยเป็นฐานเหยื่อหลัก
นี่คือประเด็นที่ควรได้รับความสนใจสูงสุดในระดับชาติ กลุ่มแรนซัมแวร์ The Gentlemen ซึ่งเป็นกลุ่มที่เติบโตเร็วที่สุดในโลกช่วงครึ่งปีแรก (ขยายเหยื่อ 315% ในไตรมาสเดียว มีเหยื่อรวมกว่า 500 ราย) ถูกระบุจากทั้ง ESET และ PRODAFT ว่า มีฐานเหยื่อหลักกระจุกตัวอยู่ในเอเชียตะวันออกเฉียงใต้และประเทศไทย กลุ่มนี้นำโดยอาชญากรชาวรัสเซีย ใช้ AI ช่วยพัฒนา ransomware ที่แพร่กระจายแบบ worm ข้ามเครือข่ายผ่าน SSH ได้เอง และพัฒนาชุดเครื่องมือฆ่า EDR ชื่อ GentleKiller ที่ปลอมเป็นผลิตภัณฑ์ถูกกฎหมาย 8 รูปแบบ เล็งปิดโปรแกรมความปลอดภัย 400 โปรเซสจาก 48 ผู้ผลิต การที่ไทยเป็นเป้าหมายหลักของกลุ่มที่ก้าวร้าวและมีเครื่องมือระดับนี้ หมายความว่าองค์กรไทยในทุกภาคส่วนควรถือว่าตนเองอยู่ในรายชื่อเป้าหมายที่มีความเป็นไปได้สูง และต้องเร่งตรวจสอบความพร้อมของระบบสำรองข้อมูลและการตรวจจับการเคลื่อนตัวด้านข้าง (lateral movement)
3.2 การจารกรรมของจีนที่พุ่งเป้าหน่วยงานรัฐไทยและอาเซียน
ประเทศไทยถูกระบุเป็นเป้าหมายโดยตรงในปฏิบัติการจารกรรมของจีนหลายกรณีในเดือนเดียว กรณีแรกคือกลุ่ม Earth Lusca (FishMonger) ที่ใช้มัลแวร์ SprySOCKS เวอร์ชัน Windows โจมตีหน่วยงานรัฐใน 4 ประเทศซึ่งรวมถึงไทย โดยรุ่นใหม่มี kernel driver ระดับ rootkit ที่ตรวจจับได้ยากมาก กรณีที่สองคือกลุ่ม CL-STA-1062 ที่ใช้แบ็กดอร์ TinyRCT โจมตีหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ โดยเน้นรัฐวิสาหกิจด้านพลังงานและภาครัฐ เจาะได้อย่างน้อย 10 องค์กรในภูมิภาค ทั้งสองกรณีนี้บ่งชี้ว่าหน่วยงานรัฐและรัฐวิสาหกิจด้านพลังงานของไทยอยู่ในเป้าหมายเชิงยุทธศาสตร์ของการจารกรรมจีนอย่างชัดเจน ไม่ใช่ความเสี่ยงเชิงสมมติฐาน และเนื่องจากมัลแวร์เหล่านี้ออกแบบมาเพื่อฝังตัวระยะยาวและขโมยข้อมูล องค์กรที่ตกเป็นเป้าอาจถูกเจาะไปแล้วโดยยังไม่รู้ตัว
3.3 FortiBleed — Credential VPN ของไทยรั่วไหลติดสิบอันดับแรก
การรั่วไหลของ credential อุปกรณ์ Fortinet VPN กว่า 73,000 URL จาก 194 ประเทศในรูปแบบ plaintext เป็นภัยที่กระทบไทยโดยตรง โดย ประเทศไทยติดอันดับสิบประเทศที่ได้รับผลกระทบมากที่สุด เมื่อเบื้องหลังคือ Initial Access Broker ชาวรัสเซียที่ดักจับ credential ได้กว่า 110 ล้านรายการ นี่หมายความว่าองค์กรไทยจำนวนมากที่ใช้ Fortinet VPN อาจมีชื่อผู้ใช้และรหัสผ่านหลุดอยู่ในมือผู้โจมตีแล้ว ซึ่งเป็นจุดเริ่มต้นชั้นดีสำหรับการปล่อยแรนซัมแวร์หรือการจารกรรม องค์กรที่ใช้ Fortinet ควรถือเป็นเหตุเร่งด่วนที่ต้องหมุนเวียน credential ทั้งหมด บังคับใช้ MFA และตรวจสอบ log การเข้าถึง VPN ย้อนหลังทันที
3.4 สแกมข้ามพรมแดนและภัยธนาคารบนมือถือในภูมิภาค
ประเทศไทยอยู่ท่ามกลางศูนย์กลางของอาชญากรรมฉ้อโกงข้ามชาติที่ INTERPOL ประเมินว่าสร้างความเสียหายจากสแกม AI ในภูมิภาคสูงถึง 37,000 ล้านดอลลาร์ โดยศูนย์หลอกลวงในกัมพูชา ลาว และเมียนมาที่ประชิดพรมแดนไทยใช้แรงงานบังคับและ deepfake หลอกเหยื่อทั่วโลก การที่ตำรวจไทยเข้าร่วมปฏิบัติการ Disruption Week ของสหรัฐฯ และจับผู้ต้องสงสัย 7 คน สะท้อนทั้งความรุนแรงของปัญหาและบทบาทของไทยในเครือข่ายปราบปราม นอกจากนี้ยังพบมัลแวร์ธนาคารบนมือถือ Android อย่าง OverlayPhantom ที่แพร่ใน 10 ประเทศและระบุเอเชียตะวันออกเฉียงใต้เป็นเป้าหมายสำคัญ รวมถึงแคมเปญ ManageEngine ที่แพร่ผ่าน WhatsApp โดยพบเหยื่อในสิงคโปร์และมาเลเซีย ซึ่งเป็นสัญญาณว่าผู้ใช้ Mobile Banking ในไทยมีความเสี่ยงสูงตามไปด้วย
3.5 ความเสี่ยงเชิงระบบผ่านการพึ่งพาเทคโนโลยีสากล
นอกเหนือจากการถูกระบุชื่อโดยตรง องค์กรไทยยังมีความเสี่ยงเต็มที่จากภัยระดับโลกผ่านการใช้เทคโนโลยีเดียวกับทั้งโลก ช่องโหว่ที่ถูกโจมตีจริงในอุปกรณ์ Cisco, Ubiquiti, Ivanti, Oracle, Fortinet และ F5 ล้วนเป็นผลิตภัณฑ์ที่องค์กรไทยใช้แพร่หลาย เช่นเดียวกับการโจมตีห่วงโซ่อุปทานที่กระทบนักพัฒนาไทยที่ดึงแพ็กเกจ npm/PyPI มาใช้ และภัยฟิชชิงที่ใช้แบรนด์ AI เป็นเหยื่อล่อ ความเสี่ยงกลุ่มนี้ไม่ได้เจาะจงไทย แต่ไทยได้รับผลกระทบเต็มที่ในฐานะผู้บริโภคเทคโนโลยีสากล

ภาพที่ 4: การกระจายของพื้นที่โจมตี (attack surface) ในเดือนมิถุนายน 2569 อุปกรณ์ขอบเครือข่าย ระบบปฏิบัติการ/endpoint และ “คน” (วิศวกรรมสังคม) เป็นสามพื้นที่ที่ถูกโจมตีมากที่สุด สะท้อนว่าการป้องกันต้องครอบคลุมทั้งเทคโนโลยีและมนุษย์
4. สิ่งที่ต้องเตรียมรับมือ (Strategic Recommendations)
จากการวิเคราะห์ทั้งหมด รายงานฉบับนี้เสนอข้อเสนอเชิงยุทธศาสตร์สำหรับหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ ผู้กำหนดนโยบาย และองค์กรโครงสร้างพื้นฐานสำคัญของไทย จัดลำดับตามความเร่งด่วนและผลกระทบ โดยเชื่อมโยงกับภัยที่พบจริงในเดือนนี้
4.1 การดำเนินการเร่งด่วน (0–30 วัน)
หมุนเวียน credential และเสริมความปลอดภัย VPN ทันที จากกรณี FortiBleed ที่ไทยติดสิบอันดับแรก องค์กรที่ใช้ Fortinet หรืออุปกรณ์ VPN ใด ๆ ต้องถือเป็นเหตุเร่งด่วนที่ต้องหมุนเวียนรหัสผ่านทั้งหมด บังคับใช้ MFA ที่ต้านฟิชชิงได้ (เช่น FIDO2) และตรวจสอบ log การเข้าถึง VPN ย้อนหลังหาการเข้าถึงที่ผิดปกติ พร้อมเร่งแพตช์ช่องโหว่ที่ถูกโจมตีจริงในอุปกรณ์ Cisco SD-WAN, Ubiquiti UniFi, Ivanti, Oracle EBS/PeopleSoft และ Check Point VPN
ล่าภัยเชิงรุกสำหรับการฝังตัวของกลุ่มจีน เนื่องจากไทยถูกระบุเป็นเป้าหมายของ SprySOCKS และ TinyRCT หน่วยงานรัฐและรัฐวิสาหกิจด้านพลังงานควรดำเนินการล่าภัย (threat hunting) เชิงรุก โดยเฉพาะการตรวจหา backdoor ในอุปกรณ์ edge, NAS, PAM และ OpenSSH ที่ EDR เข้าไม่ถึง และตรวจสอบความผิดปกติของ kernel driver บน Windows เนื่องจากกลุ่มเหล่านี้ออกแบบมาเพื่อฝังตัวระยะยาว การรอสัญญาณเตือนจากระบบป้องกันเพียงอย่างเดียวไม่เพียงพอ
ยกระดับความพร้อมรับมือแรนซัมแวร์ เนื่องจากไทยเป็นฐานเหยื่อหลักของ The Gentlemen องค์กรต้องตรวจสอบว่าระบบสำรองข้อมูลแยกออฟไลน์และทดสอบการกู้คืนได้จริง ปกป้องเซิร์ฟเวอร์สำรอง (เช่น Veeam) เป็นพิเศษ และเปิดใช้การตรวจจับการปิด EDR และการเคลื่อนตัวด้านข้างผ่าน SSH/PsExec/WMI
4.2 การปรับปรุงเชิงกระบวนการ (1–3 เดือน)
กำหนดนโยบายความปลอดภัยสำหรับเครื่องมือ AI (AI Security Governance) เนื่องจาก AI coding agent และเครื่องมือ AI กลายเป็นเป้าหมายและช่องทางโจมตีใหม่ องค์กรต้องกำหนดให้เครื่องมือเหล่านี้ผ่านการตรวจสอบความปลอดภัยเดียวกับซอฟต์แวร์ production ควบคุมส่วนขยายเบราว์เซอร์และ IDE ที่พนักงานติดตั้ง ตรวจไฟล์ตั้งค่า AI (.cursorrules, CLAUDE.md) ที่อาจถูกฝังคำสั่งซ่อน และให้ความรู้พนักงานเรื่องเว็บปลอมและ workspace ปลอมของแบรนด์ AI
สร้างการกำกับดูแลห่วงโซ่อุปทานซอฟต์แวร์ นำแนวปฏิบัติใหม่มาใช้ ทั้งการเตรียมพร้อมรับการเปลี่ยนแปลงของ npm เวอร์ชัน 12 ที่จะปิดสคริปต์ lifecycle อัตโนมัติ การตรึงเวอร์ชันแพ็กเกจ การสแกน dependency ที่ครอบคลุมทั้งไฟล์ที่ scanner มักมองข้าม (binding.gyp, .pth) และการหมุนเวียน credential CI/CD ที่อาจรั่วจากแคมเปญ Miasma/Shai-Hulud
ยกระดับการป้องกันวิศวกรรมสังคม จากการที่ “คน” เป็นหนึ่งในพื้นที่โจมตีที่มากที่สุดของเดือน ทั้งการหลอกผ่าน Microsoft Teams ปลอมเป็น IT helpdesk การฟิชชิงแบบ AiTM ที่ข้าม MFA และการหลอกขอ Signal Recovery Key องค์กรต้องฝึกอบรมพนักงานอย่างต่อเนื่อง และพิจารณาใช้ MFA ที่ต้านฟิชชิงได้จริง
4.3 การเตรียมการเชิงยุทธศาสตร์ (3–12 เดือน)
เริ่มแผนการย้ายสู่การเข้ารหัสยุคหลังควอนตัม (PQC) ตามแนวทางที่รัฐบาลสหรัฐฯ กำหนดเส้นตายปี 2030 หน่วยงานไทยที่จัดการข้อมูลลับระยะยาว (กลาโหม การเงิน สาธารณสุข) ควรเริ่มจากการจัดทำบัญชีสินทรัพย์เข้ารหัส (Cryptography Bill of Materials) ระบุข้อมูลที่เสี่ยงต่อภัย Harvest Now Decrypt Later แล้ววางแผนย้ายไปมาตรฐาน NIST (ML-KEM/ML-DSA)
พัฒนายุทธศาสตร์รับมือภัยข้ามพรมแดนระดับชาติ เนื่องจากศูนย์หลอกลวงในประเทศเพื่อนบ้านที่ประชิดพรมแดนไทยเป็นภัยที่มีมิติความมั่นคง เศรษฐกิจ และมนุษยธรรม การรับมือต้องอาศัยความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมาย หน่วยข่าวกรอง และความร่วมมือระหว่างประเทศ ดังที่ตำรวจไทยได้เริ่มบทบาทในปฏิบัติการนานาชาติแล้ว
ลงทุนในการตรวจจับเชิงพฤติกรรมและสมมติว่าถูกเจาะแล้ว (Assume Breach) จากกรณี Velvet Ant ที่ฝังตัวเกือบ 10 ปี และแนวโน้มมัลแวร์ที่รันในหน่วยความจำและออกแบบมาต้านการวิเคราะห์ด้วย AI องค์กรต้องลงทุนในเครื่องมือตรวจจับพฤติกรรมผิดปกติและการล่าภัยเชิงรุก แทนการพึ่งพาการป้องกันด้วยลายเซ็นเพียงอย่างเดียว
5. บทสรุปและมุมมองไปข้างหน้า (Outlook)
เดือนมิถุนายน 2569 ตอกย้ำว่าภูมิทัศน์ภัยคุกคามไซเบอร์กำลังเปลี่ยนแปลงในสองมิติพร้อมกัน มิติแรกคือ ความเร็ว ที่ AI เร่งทั้งการค้นพบช่องโหว่และการโจมตีจนกระบวนการป้องกันแบบเดิมตามไม่ทัน และมิติที่สองคือ ความใกล้ ที่การแข่งขันเชิงภูมิรัฐศาสตร์เคลื่อนเข้ามาประชิดประเทศไทยมากขึ้น ทั้งการจารกรรมของจีนที่พุ่งเป้าหน่วยงานรัฐไทย แรนซัมแวร์ที่มีฐานเหยื่อหลักในไทย และอาชญากรรมฉ้อโกงข้ามพรมแดนที่ประชิดชายแดน สำหรับผู้กำหนดนโยบายและหน่วยงานความมั่นคง บทเรียนสำคัญที่สุดของเดือนนี้คือ ประเทศไทยไม่ได้เป็นเพียงผู้สังเกตการณ์ภัยไซเบอร์ระดับโลกอีกต่อไป แต่เป็นเป้าหมายที่ถูกเลือกอย่างตั้งใจในหลายปฏิบัติการ
แนวโน้มที่ควรจับตาในเดือนถัดไปคือ การขยายตัวของการโจมตีที่ขับเคลื่อนด้วย AI agent ที่มีความเป็นอิสระสูงขึ้น ความต่อเนื่องของปฏิบัติการจารกรรมจีนในภูมิภาคอาเซียน และการที่ credential ที่รั่วจาก FortiBleed อาจถูกนำไปใช้ปล่อยแรนซัมแวร์ในระลอกถัดไป องค์กรและหน่วยงานของไทยที่เริ่มดำเนินการตามข้อเสนอในรายงานฉบับนี้ตั้งแต่วันนี้ จะอยู่ในตำแหน่งที่พร้อมกว่าในการปกป้องทั้งองค์กรของตนเองและความมั่นคงปลอดภัยไซเบอร์ของประเทศโดยรวม
ภาคผนวก: สถิติสำคัญประจำเดือน (Key Statistics)
| ตัวชี้วัด | จำนวน |
|---|---|
| เหตุการณ์ภัยคุกคามที่วิเคราะห์ทั้งหมด | 206 |
| ช่องโหว่ซอฟต์แวร์และอุปกรณ์ | 48 |
| ปฏิบัติการกลุ่มรัฐชาติ (Nation-State / APT) | 34 |
| ภัยที่เกี่ยวข้องกับ AI | 27 |
| นโยบาย / การป้องกัน / เครื่องมือ | 22 |
| สแกม / ฟิชชิง / ฉ้อโกง | 22 |
| การโจมตีห่วงโซ่อุปทาน (Supply Chain) | 14 |
| การรั่วไหลข้อมูล / Identity | 13 |
| ปฏิบัติการปราบปรามระหว่างประเทศ | 10 |
| แรนซัมแวร์ | 8 |
| มัลแวร์มือถือ / Stealer | 8 |
| กรณีที่ระบุประเทศไทยเป็นเป้าหมาย/ผู้ได้รับผลกระทบโดยตรง | 5+ |
กลุ่มภัยคุกคามรัฐชาติที่พบในเดือนนี้
| ประเทศ | กลุ่มที่เคลื่อนไหว |
|---|---|
| จีน | Earth Lusca/SprySOCKS, CL-STA-1062/TinyRCT, Velvet Ant, VerdantBamboo/BRICKSTORM, Mustang Panda, OP-512, UNC6508, SharkLoader, ระบบแฮ็กเกอร์รับจ้าง (Salt/Volt/Flax Typhoon) |
| รัสเซีย | APT28/FrostArmada, Turla/STOCKSTAY, Gamaredon, Evil Corp/SocGholish, FortiBleed IAB |
| อิหร่าน | Screening Serpens (UNC1549/IRGC), Handala (MOIS) |
| เกาหลีเหนือ | Sapphire Sleet (BlueNoroff), UNK_DeadDrop, Gaslight |
ช่องโหว่ระดับวิกฤตที่ควรจับตา (เลือกจาก CVSS ≥ 9.8)
| ผลิตภัณฑ์ | CVE | CVSS | สถานะ |
|---|---|---|---|
| Ubiquiti UniFi OS | CVE-2026-34908/09/10 | 10.0 | ถูกโจมตีจริง |
| Ivanti Sentry | CVE-2026-10520 | 10.0 | มีแพตช์ |
| Ivanti (auth bypass) | CVE-2026-10523 | 9.9 | มีแพตช์ |
| LiteLLM (chain to RCE) | LiteLLM 3-CVE chain | 9.9 | มีแพตช์ |
| Oracle E-Business Suite | CVE-2026-46817 | 9.8 | ถูกโจมตีจริง |
| Oracle PeopleSoft | CVE-2026-35273 | 9.8 | ถูกโจมตีจริง (ShinyHunters) |
| Everest Forms (WordPress) | CVE-2026-3300 | 9.8 | ถูกโจมตีจริง |
| Windows Kernel (wormable) | CVE-2026-45657 | 9.8 | มีแพตช์ |
| Splunk Enterprise | CVE-2026-20253 | 9.8 | มี PoC |
| Fortinet FortiSandbox | CVE-2026-25089 | 9.8 | มีแพตช์ |
| IBM WebSphere | CVE-2026-8633 | 9.8 | มีแพตช์ |
| Dell Wyse Management Suite | CVE-2026-41120 | 9.8 | มีแพตช์ |
รายงานฉบับนี้จัดทำจากการวิเคราะห์เหตุการณ์ภัยคุกคามที่คัดกรองในเดือนมิถุนายน 2569 โดย Cloud Thunder Threat Intelligence เพื่อใช้ประกอบการตัดสินใจเชิงยุทธศาสตร์และความมั่นคงปลอดภัยไซเบอร์ของประเทศ ข้อมูลตัวชี้วัดการบุกรุก (IoC) และรายละเอียดเชิงเทคนิคของแต่ละเหตุการณ์สามารถสืบค้นได้จากฐานข้อมูลข่าวประจำวันของ Cloud Thunder