ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

12 ข่าว

HalluSquatting — เทคนิคใหม่หลอก AI ผู้ช่วยเขียนโค้ดให้ติดตั้งมัลแวร์บอตเน็ต

HalluSquatting attack tricks AI coding assistants into installing botnet malware
งานวิจัยจากทีม Ben Nassi มหาวิทยาลัย Tel Aviv เผยเทคนิคโจมตีใหม่ชื่อ HalluSquatting ที่อาศัยนิสัยของ AI ผู้ช่วยเขียนโค้ดที่มัก มโน ชื่อไลบรารีหรือปลั๊กอินที่ไม่มีอยู่จริง ผู้โจมตีหาชื่อปลอมที่ AI มักคิดขึ้นซ้ำ ๆ แล้วไปจดชื่อนั้นบน GitHub หรือ marketplace พร้อมฝังคำสั่งอันตราย เมื่อผู้ใช้สั่งให้ AI ดึงทรัพยากรยอดนิยม ผู้ช่วยจะดึงของปลอมมาแทนและรันโค้ดผู้โจมตีผ่านเทอร์มินัลในตัวจนกลายเป็นบอตเน็ต ทดสอบสำเร็จกับ Cursor, Copilot, Gemini CLI และอื่น ๆ สูงสุด 85-100%

Google ร่วม FBI ทลายเครือข่าย Residential Proxy 'NetNut' ที่ยึดอุปกรณ์ในบ้านกว่า 2 ล้านเครื่อง

fbi google proxy google disrupts netnut residential proxy network spanning gtig million home devices google
Google Threat Intelligence Group ร่วมกับ FBI และ Lumen ปฏิบัติการลดทอนเครือข่าย residential proxy ชื่อ NetNut (หรือ Popa) ที่เปลี่ยนอุปกรณ์ในบ้านกว่า 2 ล้านเครื่องทั่วโลกให้เป็น exit node ให้คนอื่นเช่าส่งทราฟฟิก พบกลุ่มภัยคุกคามอย่างน้อย 316 คลัสเตอร์ใช้ซ่อนตัวโจมตี NetNut เชื่อมโยงบริษัทจดทะเบียนอิสราเอล Alarum Technologies และมีโครงการ reseller ทำให้ปิดยากในครั้งเดียว

RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง

RustDuck botnet rewritten in Rust hijacking routers and servers for DDoS
นักวิจัยจาก XLab ของ QiAnXin เปิดเผยบอตเน็ตใหม่ชื่อ RustDuck ที่ยึดเราเตอร์บ้าน กล้อง IP กล่อง Android และเซิร์ฟเวอร์ที่ป้องกันหละหลวม เพื่อรวมเป็นเครือข่ายโจมตี DDoS จุดเด่นคือกำลังถูกเขียนใหม่จากภาษา C เป็น Rust ซึ่งวิเคราะห์ยากขึ้น และมีกลไกหลบการวิเคราะห์ขั้นสูง เช่น ตรวจ sandbox เครื่องมือวิเคราะห์ และ VM แพร่ผ่านรหัสผ่านอ่อนและช่องโหว่เก่าหลายตัวรวมถึง CVE-2017-17215 และ CVE-2025-29635 ใช้ ChaCha20-Poly1305 และ duckdns.org เป็นช่องทางควบคุม

AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ

AryStinger malware infects 4300 legacy routers reconnaissance proxy network
นักวิจัย XLab ของ QiAnXin พบมัลแวร์ตระกูลใหม่ AryStinger เปลี่ยนเราเตอร์บ้านเก่าอย่างน้อย 4,300 ตัวให้เป็นเครือข่ายสอดแนมและพร็อกซี ไม่ใช่บอตเน็ต DDoS ทั่วไป มันโจมตีเราเตอร์ชิป Realtek RTL819X ผ่าน CVE-2013-3307 และ CVE-2016-5681 และ QNAP NAS ผ่าน CVE-2025-11837 อุปกรณ์ติดมัลแวร์ทำหน้าที่สแกน ฟิงเกอร์พรินต์บริการ และซ่อนตำแหน่งผู้โจมตีจริงก่อนการบุกรุก

เปิดโปงระบบนิเวศแฮ็กเกอร์รับจ้างของจีน — บริษัทเอกชนสร้างมัลแวร์ บอตเน็ต และขายข้อมูลให้หน่วยข่าวกรองรัฐ

Chinese cyber contractors use malware botnets and stolen data to enable state operations
นักวิจัย BindingHook เปิดเผยว่าปฏิบัติการไซเบอร์ของจีนพัฒนาเป็นระบบนิเวศเชิงพาณิชย์ มีบริษัทเอกชน ผู้รับเหมา และนายหน้าข้อมูลร่วมกันทำจารกรรมให้หน่วยข่าวกรอง กลุ่มอย่าง Salt Typhoon, Flax Typhoon และ Volt Typhoon พึ่งพาชั้นพาณิชย์นี้ นักวิจัยเสนอกรอบ composite responsibility เอกสารรั่วของ I-Soon เผยการโจมตีรัฐบาลอย่างน้อย 14 ประเทศ บอตเน็ต Raptor Train เชื่อมโยง Integrity Tech

หน่วยข่าวกรองแคนาดาใช้หมายศาลครั้งแรก เข้าล้างบอตเน็ตในอุปกรณ์ IoT/เราเตอร์บนแผ่นดินตัวเอง — ทลายเครือข่ายรัฐต่างชาติ 2 กลุ่ม

Canadian Security Intelligence Service used first-of-its-kind warrant to clean botnet-infected devices
ศาลกลางแคนาดาเปิดเผยคำพิพากษาเมื่อ 15 มิถุนายน 2026 ว่าหน่วยข่าวกรอง CSIS ได้รับอนุญาตใช้หมายลดภัยคุกคามเป็นครั้งแรก เข้าแก้ไข ลดทอน และทำลายข้อมูลบอตเน็ตในเซิร์ฟเวอร์ เราเตอร์ SOHO และอุปกรณ์ IoT บนแผ่นดินแคนาดา เพื่อตัดอุปกรณ์ออกจากเครือข่ายรัฐต่างชาติ 2 กลุ่ม เป้าหมายรวมถึง Ring doorbell กล้องวงจรปิด และทีวี Wi-Fi คดีนี้คล้ายปฏิบัติการ FBI ล้าง KV-botnet ของ Volt Typhoon

ตำรวจสากล Operation Endgame ทลาย SocGholish botnet ทำความสะอาด WordPress เกือบ 15,000 เว็บไซต์ที่ถูกฝังมัลแวร์ของกลุ่ม Evil Corp

Operation Endgame dismantles SocGholish botnet linked to Evil Corp
หน่วยงานบังคับใช้กฎหมายจากเนเธอร์แลนด์ แคนาดา สหรัฐฯ และเยอรมนี ร่วมมือในปฏิบัติการ Operation Endgame ทำความสะอาดมัลแวร์ SocGholish จากเว็บไซต์ WordPress เกือบ 15,000 แห่ง และปิด server กับ domain กว่า 100 รายการที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์รัสเซีย Evil Corp มัลแวร์ SocGholish หลอกผู้เยี่ยมชมเว็บไซต์ให้ดาวน์โหลด payload อันตรายโดยปลอมเป็นอัปเดตเบราว์เซอร์ เคยถูกใช้แพร่กระจาย Dridex, DoppelPaymer และมัลแวร์อื่นอีกหลายตระกูล

บอตเน็ต JDY ของจีนขยายตัวเป็น 1,500 เครื่อง สแกนหาช่องโหว่ Edge Device ป้อนข้อมูลให้กลุ่มจารกรรมรัฐ

China-linked JDY botnet expansion diagram
บอตเน็ต JDY ที่เชื่อมโยงกับรัฐบาลจีนขยายตัวจาก 650 เป็นกว่า 1,500 อุปกรณ์ของสำนักงานขนาดเล็กและสำนักงานที่บ้าน และ IoT ทำหน้าที่สแกนหาช่องโหว่ในอุปกรณ์ edge device อย่างเป็นระบบ แล้วส่งข้อมูลให้กลุ่ม APT ของจีนใช้โจมตีต่อ Lumen Black Lotus Labs พบว่าบอตเน็ตใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยภายในไม่กี่ชั่วโมง อุปกรณ์ที่ติดมัลแวร์กระจายอยู่ทั่วสหรัฐฯ และบราซิลเป็นหลัก

C0XMO บอตเน็ตสายพันธุ์ Gafgyt — เจาะ DD-WRT ผ่าน CVE-2021-27137 ลามข้ามสถาปัตยกรรม พร้อมฆ่ามัลแวร์คู่แข่ง

C0XMO botnet spreads via DD-WRT router flaw
Fortinet พบบอตเน็ตสายพันธุ์ใหม่ของ Gafgyt ชื่อ C0XMO มุ่งเป้าเฟิร์มแวร์เราเตอร์ DD-WRT และลามไปยังอุปกรณ์หลายสถาปัตยกรรมทั้ง ARM, MIPS, PowerPC, x86 มันแพร่ผ่านการเจาะ CVE-2021-27137 ช่องโหว่ buffer overflow ที่รันโค้ดได้โดยไม่ต้องยืนยันตัวตน รองรับการโจมตี DDoS ถึง 19 วิธี ใช้สแกนเนอร์ Python brute-force SSH/Telnet ฝังตัวด้วย cron ทุก 15 นาที และไล่ฆ่ามัลแวร์คู่แข่งกับเครื่องมือ red team บนเครื่องเหยื่อ

ตำรวจเนเธอร์แลนด์ทลาย Botnet เชื่อมโยงอุปกรณ์ติดมัลแวร์ 17 ล้านเครื่อง — ยึดเซิร์ฟเวอร์บริการ Residential Proxy 'Asocks'

Dutch authorities dismantle botnet linked to 17 million infected devices Asocks residential proxy
ตำรวจเนเธอร์แลนด์และ NCSC ประกาศทลาย botnet ที่เชื่อมโยงอุปกรณ์ติดมัลแวร์อย่างน้อย 17 ล้านเครื่อง ทั้งคอมพิวเตอร์ แท็บเล็ต สมาร์ตโฟน และอุปกรณ์ IoT โดยใช้เซิร์ฟเวอร์กว่า 200 เครื่องในเนเธอร์แลนด์เป็น backend ตำรวจยึดเซิร์ฟเวอร์ส่วนหนึ่งจากผู้ให้บริการโฮสติง สำนักข่าวท้องถิ่นระบุว่าบริการที่ถูกปิดคือ Asocks ผู้ขาย residential proxy ที่เคยเชื่อมโยงกับแคมเปญ PROXYLIB ที่เปลี่ยนอุปกรณ์ Android เป็น proxy โดยเจ้าของไม่รู้ตัว