ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

24 ข่าว

มัลแวร์ RAT ตัวใหม่ MODBEACON ของกลุ่ม Silver Fox ใช้ gRPC streaming เข้ารหัสทราฟฟิก C2

Silver Fox MODBEACON Rust RAT gRPC streaming encrypted C2
บริษัท QiAnXin เปิดเผยว่ากลุ่มอาชญากรไซเบอร์ Silver Fox ที่เชื่อมโยงกับจีนอยู่เบื้องหลังมัลแวร์ RAT ตัวใหม่ที่เขียนด้วยภาษา Rust ชื่อ MODBEACON กระจายผ่านตัวติดตั้งปลอมด้วยเทคนิค SEO poisoning โดยมีผู้กระจายหลายราย ตัวมัลแวร์เป็น RAT แบบโมดูลที่รันในหน่วยความจำ ใช้ gRPC tunnel streaming สื่อสารกับ C2 และนำ transport layer จากเฟรมเวิร์ก proxy โอเพนซอร์ส Xray/V2Ray มาใช้เป็นช่องทางควบคุม พุ่งเป้าองค์กรเทคโนโลยี การศึกษา และรัฐวิสาหกิจในจีน

แฮ็กเกอร์เชื่อมโยงจีนและอินเดียเจาะตำรวจปากีสถานกลุ่มเดียวกันนานกว่า 2 ปี ตำรวจบาลูจิสถานโดนหนักสุด

China and India linked hackers both targeted Balochistan Pakistani police
งานวิจัยใหม่จาก SentinelOne เผยว่ากลุ่มจารกรรมไซเบอร์ที่เชื่อมโยงกับทั้งจีนและอินเดียเจาะเครือข่ายตำรวจปากีสถานเงียบ ๆ นานกว่า 2 ปี ตั้งแต่กุมภาพันธ์ 2567 ถึงเมษายน 2569 โดยตำรวจบาลูจิสถานรับกระแสโจมตีหนักสุดจากทั้งสองฝ่าย ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลไบโอเมตริก แฟ้มคดี และประวัติบุคลากร นักวิจัยจัดกลุ่มการบุกรุกเป็น 4 คลัสเตอร์ตามมัลแวร์ PlugX, ShadowPad, Cobalt Strike และ Remcos และยังพบไฟล์อันตรายปลอมเป็นอัปเดตฝังบนระบบร้องเรียนสาธารณะของตำรวจ

แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย

chinese hackers longleash malware operational relay box orb network
นักวิจัยจาก Cisco Talos เปิดเผยว่ากลุ่มแฮ็กเกอร์จีน UAT-7810 กำลังพัฒนามัลแวร์อย่างต่อเนื่องเพื่อขยายเครือข่าย ORB (Operational Relay Box) โดยเจาะอุปกรณ์เครือข่ายที่เชื่อมต่ออินเทอร์เน็ต โดยเฉพาะเราเตอร์ Ruckus และ ASUS AiCloud ที่ไม่ได้แพตช์ ผ่านช่องโหว่ n-day หลายตัว เครือข่าย ORB นี้ทำหน้าที่เป็นโครงสร้างพร็อกซีให้กลุ่ม APT จีนอื่นๆ ส่งทราฟฟิกผ่านอุปกรณ์ในภูมิภาคเพื่อปลอมแหล่งที่มาและหลบการระบุตัวตน นักวิจัยพบมัลแวร์ใหม่ LONGLEASH, DOGLEASH, JARLEASH และ LEASHTEST

แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube

Suspected China-aligned UNK_MassTraction exploits Roundcube flaws against universities
บริษัท Proofpoint เปิดเผยกลุ่มจารกรรมที่คาดว่าเชื่อมโยงจีน UNK_MassTraction โจมตีเว็บเมล Roundcube ของภาควิชาฟิสิกส์และวิศวกรรมในมหาวิทยาลัยสหรัฐฯ และแคนาดา ใช้ช่องโหว่ XSS CVE-2024-42009 ที่เพียงเปิดอีเมลก็ถูกเจาะ ปล่อยมัลแวร์ IceCube ขโมย credential, 2FA และคุกกี้ แล้วต่อยอดช่องโหว่ RCE CVE-2025-49113 ฝัง web shell SquareShell หรือ VShell ในหน่วยความจำ นับเป็นครั้งแรกที่กลุ่มจีนถูกโยงกับการเจาะ Roundcube ซึ่งเดิมเป็นแนวถนัดของกลุ่มรัสเซีย

แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn

phishing china india ise dcrat deploy dcrat a
บริษัท Seqrite Labs เปิดโปงปฏิบัติการ DragonReturn ที่ต้องสงสัยว่าเป็นกลุ่มแฮ็กเกอร์เชื่อมโยงจีน เล็งเป้าผู้เสียภาษีและทีมการเงินองค์กรในอินเดีย ด้วยอีเมลฟิชชิงปลอมเป็นกรมสรรพากรอินเดีย หลอกให้ดาวน์โหลดโปรแกรมยื่นภาษีปลอมที่ sideload DLL อันตราย ฝังตัวเป็น Windows service แล้วปล่อย DcRAT ขโมยข้อมูล ตรวจพบครั้งแรก 18 พ.ค. 2026 พบร่องรอยทับซ้อนกับกลุ่ม Silver Fox ของจีน

อ้าง Claude Code ฝังโค้ดลับตรวจจับผู้ใช้จีน — ซ่อนสัญญาณด้วย Steganography ใน System Prompt จุดกระแสถกเถียงเรื่องความเชื่อใจ

Claude Code hidden code allegedly detecting Chinese users via steganography
ผู้ใช้ Reddit อ้างว่าได้ reverse-engineer เครื่องมือ Claude Code CLI ของบริษัท Anthropic และพบโค้ดที่ถูกซ่อนไว้ตั้งแต่เวอร์ชัน 2.1.91 (เม.ย. 2026) ซึ่งตรวจจับผู้ใช้ในจีนหรือที่ใช้พร็อกซีของแล็บ AI จีน โดยเช็ก timezone และโดเมนพร็อกซี แล้วส่งสัญญาณกลับผ่าน steganography ในบรรทัด system prompt ด้วยการสลับรูปแบบวันที่และอักขระ apostrophe แบบ Unicode ที่มองไม่เห็นด้วยตาเปล่า จุดกระแสถกเถียงเรื่องความเชื่อใจของนักพัฒนาและการเฝ้าติดตามแบบซ่อนเร้น ขณะที่ Anthropic ยังไม่ออกแถลงการณ์

Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย

Mustang Panda uses Zoho WorkDrive as command channel in Indian government attacks
Acronis Threat Research Unit พบกลุ่มจารกรรม Mustang Panda ที่จีนหนุนหลัง รันสองแคมเปญโจมตีหน่วยงานรัฐและเป้าหมายด้านพลังงานน้ำของอินเดีย ใช้มัลแวร์ใหม่และเปลี่ยน Zoho WorkDrive บริการคลาวด์ที่ถูกต้องให้เป็นช่องทางสั่งการ ทำให้ทราฟฟิกดูเหมือนกิจกรรมคลาวด์ปกติ Acronis ตั้งชื่อเครื่องมือใหม่ 3 ตัวคือ SHARDLOADER, MINIRECON และ ZOHOMURK ทั้งสองแคมเปญมาในรูป ZIP ส่งผ่าน spear-phishing ทำงานช่วง 12-22 มิ.ย. 2026 เป้าหมายคือข่าวกรองด้านพลังงานน้ำและความสัมพันธ์กลาโหมอินเดีย-ไต้หวัน

เปิดโปงระบบนิเวศแฮ็กเกอร์รับจ้างของจีน — บริษัทเอกชนสร้างมัลแวร์ บอตเน็ต และขายข้อมูลให้หน่วยข่าวกรองรัฐ

Chinese cyber contractors use malware botnets and stolen data to enable state operations
นักวิจัย BindingHook เปิดเผยว่าปฏิบัติการไซเบอร์ของจีนพัฒนาเป็นระบบนิเวศเชิงพาณิชย์ มีบริษัทเอกชน ผู้รับเหมา และนายหน้าข้อมูลร่วมกันทำจารกรรมให้หน่วยข่าวกรอง กลุ่มอย่าง Salt Typhoon, Flax Typhoon และ Volt Typhoon พึ่งพาชั้นพาณิชย์นี้ นักวิจัยเสนอกรอบ composite responsibility เอกสารรั่วของ I-Soon เผยการโจมตีรัฐบาลอย่างน้อย 14 ประเทศ บอตเน็ต Raptor Train เชื่อมโยง Integrity Tech

SprySOCKS แบ็กดอร์จีนขยายจาก Linux สู่ Windows — โจมตีหน่วยงานรัฐ 4 ประเทศรวมถึงไทย

SprySOCKS Windows malware Earth Lusca government attack
ESET เปิดเผยมัลแวร์ SprySOCKS เวอร์ชัน Windows สองรุ่นที่กลุ่ม Earth Lusca (FishMonger) จากจีนใช้โจมตีหน่วยงานรัฐใน 4 ประเทศ รวมถึงไทย ระหว่างปี 2023-2024 โดยรุ่น WIN_DRV มี kernel driver ซ่อนตัวระดับ rootkit

แฮ็กเกอร์จีน UNC6508 ฝังมัลแวร์ InfiniteRed ในเซิร์ฟเวอร์ REDCap — ขโมยงานวิจัยทางการแพทย์นานกว่า 1 ปีโดยไม่มีใครรู้

Chinese hackers deploy InfiniteRed malware on REDCap medical research servers
กลุ่มจารกรรมจีน UNC6508 โจมตีเซิร์ฟเวอร์ REDCap ของสถาบันวิจัยการแพทย์ในอเมริกาเหนือ ฝังมัลแวร์ InfiniteRed ที่ออกแบบมาเฉพาะสำหรับระบบ REDCap แฝงตัวอยู่นานกว่า 1 ปี ขโมย credential และใช้ฟีเจอร์ content compliance ส่งข้อมูลออกผ่านอีเมลอัตโนมัติ Google แจ้งเตือนหลายองค์กรในสหรัฐฯ และแคนาดาที่ได้รับผลกระทบ