ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

47 ข่าว

บอตเน็ต JDY ของจีนขยายตัวเป็น 1,500 เครื่อง สแกนหาช่องโหว่ Edge Device ป้อนข้อมูลให้กลุ่มจารกรรมรัฐ

China-linked JDY botnet expansion diagram
บอตเน็ต JDY ที่เชื่อมโยงกับรัฐบาลจีนขยายตัวจาก 650 เป็นกว่า 1,500 อุปกรณ์ของสำนักงานขนาดเล็กและสำนักงานที่บ้าน และ IoT ทำหน้าที่สแกนหาช่องโหว่ในอุปกรณ์ edge device อย่างเป็นระบบ แล้วส่งข้อมูลให้กลุ่ม APT ของจีนใช้โจมตีต่อ Lumen Black Lotus Labs พบว่าบอตเน็ตใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยภายในไม่กี่ชั่วโมง อุปกรณ์ที่ติดมัลแวร์กระจายอยู่ทั่วสหรัฐฯ และบราซิลเป็นหลัก

มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย

SHEETCREEP RAT Google Sheets API C2 diplomatic espionage
บริษัท Securonix เปิดเผยแคมเปญจารกรรมที่ใช้มัลแวร์ SHEETCREEP ซึ่งเป็น C# RAT ขนาดเพียง 20 KB ใช้ Google Sheets API เป็นช่องทาง C2 เพื่อโจมตีองค์กรการทูต โดยหลอกล่อเหยื่อด้วยไฟล์ ISO ปลอมเป็นเอกสาร UAE-India Strategic Partnership Week พบเหยื่อ 91 รายจากการเข้าถึง spreadsheet C2 โดยตรง เชื่อมโยงกับกลุ่ม APT36 (Transparent Tribe) ที่มีแนวร่วมกับปากีสถาน

OP-512 กลุ่มจารกรรมจีนฝัง Web Shell Framework สั่งงานเซิร์ฟเวอร์ IIS ของ Microsoft — ใช้ Timestomping ซ่อนร่องรอย

OP-512 China-linked threat cluster targeting IIS servers
นักวิจัยจาก ReliaQuest ค้นพบกลุ่มภัยคุกคามใหม่ชื่อ OP-512 ที่เชื่อมโยงกับจีน โจมตีเซิร์ฟเวอร์ Microsoft IIS ด้วย web shell framework แบบสั่งทำพิเศษ 3 ตัว พร้อมใช้เทคนิค timestomping ปลอมแปลงเวลาไฟล์เพื่อหลบการตรวจจับ เป้าหมายเป็นองค์กรที่ตรงกับลำดับความสำคัญด้านข่าวกรองของจีน

VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance

VerdantBamboo APT BRICKSTORM malware firewall NAS
กลุ่ม APT สายจีน VerdantBamboo หรือ WARP PANDA ใช้มัลแวร์ BRICKSTORM ที่เขียนด้วย Golang แฝงตัวในเครือข่ายองค์กรเป้าหมายนานกว่า 18 เดือนโดยไม่ถูกตรวจพบ บุกรุกผ่านเครื่อง Egnyte Storage Sync appliance และ MSP ก่อนฝาก backdoor บน pfSense และ Synology NAS นักวิจัย Volexity ยังพบมัลแวร์ใหม่ 2 ตัว คือ PLENET และ AGENTPSD องค์กรที่ใช้อุปกรณ์ edge และ NAS ที่ไม่สามารถติดตั้ง EDR ควรเร่งตรวจสอบด่วน

TA4922 กลุ่มเชื่อมโยงจีนขยายเป้าโจมตี UK และยุโรป ด้วยมัลแวร์ใหม่ SilentRunLoader — ใช้เหยื่อล่อธีมภาษี/เงินเดือน

China-linked TA4922 hackers target UK Europe with new SilentRunLoader malware
บริษัท Proofpoint เผยกลุ่มอาชญากรไซเบอร์ที่คาดว่าเชื่อมโยงจีน TA4922 ซึ่งเคยมุ่งเป้าเอเชียตะวันออก กำลังขยายโจมตีองค์กรใน UK, เยอรมนี, อิตาลี และแอฟริกาใต้ ด้วยฟิชชิงธีมภาษี เงินเดือน และสวัสดิการที่เลียนแบบหน่วยงานรัฐ คลังมัลแวร์รวม ValleyRAT (Winos4.0), Atlas RAT, RomulusLoader และตัวใหม่ SilentRunLoader ซึ่งเป็น stealer/loader บน Python ที่คาดว่าพัฒนาด้วยความช่วยเหลือของ LLM มุ่งขโมย credential, cookie และข้อมูลจาก Google Chrome พร้อมใช้ DLL sideloading และเครื่องมือ remote อย่าง AnyDesk

Gamaredon ใช้ช่องโหว่ WinRAR ปล่อย GammaWorm และ GammaSteel โจมตียูเครน — ซ่อน C2 ใน Telegram

Gamaredon exploits WinRAR to deliver GammaWorm and GammaSteel against Ukraine
บริษัท Sekoia เปิดเผยว่ากลุ่มแฮ็กเกอร์รัสเซีย Gamaredon ยังใช้ช่องโหว่ WinRAR (CVE-2025-8088) แบบ path traversal ปล่อย payload GammaPhish ที่ดึง VBScript downloader GammaLoad ต่อด้วยเวิร์ม GammaWorm และ infostealer GammaSteel พบในแคมเปญเดือนมกราคม 2569 GammaWorm ฝังตัวผ่าน scheduled task ซ่อนโฟลเดอร์จริงแล้วแทนด้วยไฟล์ LNK อันตราย และ resolve C2 ผ่านช่อง Telegram สาธารณะเพื่อกลมกลืนทราฟฟิก ส่วน GammaSteel ขโมยไฟล์ส่งไป AWS S3 มุ่งเป้าหน่วยงานรัฐและทหารยูเครน

Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ

Mustang Panda deploys PlugX RAT through multi-stage LNK and PowerShell attack chain
BlueCyber เปิดเผยแคมเปญของกลุ่ม Mustang Panda ที่รัฐจีนหนุนหลัง ใช้ PlugX RAT ผ่านห่วงโซ่การติดเชื้อมัลแวร์หลายชั้น เริ่มจากอัปเดตเบราว์เซอร์ปลอมสไตล์ Adobe Acrobat ดาวน์โหลดไฟล์ JPEG ที่แท้จริงเป็น MSI ซ่อนอยู่ ใช้ไบนารี G DATA AntiVirus ที่ถูกต้องทำ DLL sideloading โหลด payload ที่เข้ารหัส XOR+RC4 เข้าหน่วยความจำโดยไม่แตะดิสก์ เชื่อมต่อ C2 ที่ fruitbrat[.]com ผ่าน HTTPS ปลอมเป็นทราฟฟิก Microsoft Edge ฝังตัวถาวรผ่าน Run registry key

Operation Dragon Weave — กลุ่มแฮ็กเกอร์ที่เชื่อมโยงจีนโจมตีเช็กและไต้หวันด้วย AdaptixC2 ซ่อนใน Azure

China-aligned cyber espionage Operation Dragon Weave targeting Czech Republic and Taiwan
นักวิจัยจาก Seqrite Labs เปิดเผยแคมเปญจารกรรมไซเบอร์ชื่อ Operation Dragon Weave ที่มุ่งเป้าหน่วยงานรัฐ วิชาการ และการเงินในสาธารณรัฐเช็กและไต้หวัน โดยใช้อีเมลฟิชชิงแนบไฟล์ ZIP เพื่อติดตั้ง Rust loader แล้วนำไปสู่ payload ชื่อ AZUREVEIL ที่ซ่อนช่องทาง C2 ไว้ใน Microsoft Azure Blob Storage เพื่อหลีกเลี่ยงการตรวจจับ ESET ยังรายงานว่ากลุ่ม China-aligned threat actors ยังคง active สูงทั่วโลกตั้งแต่ ต.ค. 2568 ถึง มี.ค. 2569 พร้อมพบกลุ่มใหม่อีกหลายกลุ่ม เช่น SteppeDriver และ NegativeGlimmer

Screening Serpens — แฮ็กเกอร์อิหร่านใช้ AppDomainManager Hijacking หลบ EDR โจมตีอุตสาหกรรมป้องกันประเทศ

Iranian hackers Screening Serpens abuse AppDomainManager hijacking to evade EDR detection
Unit 42 เปิดเผยแคมเปญจารกรรมไซเบอร์ของกลุ่ม Screening Serpens (UNC1549/Smoke Sandstorm) ที่เพิ่มความซับซ้อนด้วยเทคนิค AppDomainManager Hijacking เพื่อหลบเลี่ยง EDR โดยรันโค้ดอันตรายก่อนที่แอปพลิเคชัน .NET จะโหลดเสร็จ กลุ่มนี้พัฒนา RAT ใหม่ 6 ตัวระหว่างกุมภาพันธ์ถึงเมษายน 2569 มุ่งเป้าองค์กรด้านอวกาศ การป้องกันประเทศ และโทรคมนาคมในสหรัฐฯ อิสราเอล และสหรัฐอาหรับเอมิเรตส์ โดยใช้ fake job listing และคำเชิญประชุมปลอมเป็นเหยื่อล่อ

Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex

Kimsuky North Korea HTTPSpy malware fake security software Webex
Kimsuky กลุ่ม APT เกาหลีเหนือ ถูกระบุว่าโจมตีหน่วยงานทหารและองค์กรเกาหลีใต้ช่วงมีนาคม–เมษายน 2569 ด้วยการปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและหน้า Webex ปลอม เพื่อหลอกติดตั้งมัลแวร์ HTTPSpy ที่เป็น RAT เต็มรูปแบบ พร้อมเทคนิคใหม่ JSONPing ยืนยันการติดมัลแวร์แบบเรียลไทม์ Kaspersky ยังพบการใช้ VS Code tunnel, Cloudflare Quick Tunnels และ LLM ช่วยพัฒนามัลแวร์ใหม่อย่าง HelloDoor และ HttpMalice