ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

30 ข่าว

Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย

Mustang Panda uses Zoho WorkDrive as command channel in Indian government attacks
Acronis Threat Research Unit พบกลุ่มจารกรรม Mustang Panda ที่จีนหนุนหลัง รันสองแคมเปญโจมตีหน่วยงานรัฐและเป้าหมายด้านพลังงานน้ำของอินเดีย ใช้มัลแวร์ใหม่และเปลี่ยน Zoho WorkDrive บริการคลาวด์ที่ถูกต้องให้เป็นช่องทางสั่งการ ทำให้ทราฟฟิกดูเหมือนกิจกรรมคลาวด์ปกติ Acronis ตั้งชื่อเครื่องมือใหม่ 3 ตัวคือ SHARDLOADER, MINIRECON และ ZOHOMURK ทั้งสองแคมเปญมาในรูป ZIP ส่งผ่าน spear-phishing ทำงานช่วง 12-22 มิ.ย. 2026 เป้าหมายคือข่าวกรองด้านพลังงานน้ำและความสัมพันธ์กลาโหมอินเดีย-ไต้หวัน

Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน

Russia-linked Turla STOCKSTAY backdoor espionage Ukraine
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซีย Turla ขยายคลังเครื่องมือจารกรรมด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY โจมตีหน่วยงานรัฐและทหารในยูเครนตั้งแต่ปลายปี 2022 มัลแวร์เขียนด้วย .NET สื่อสารผ่าน WebSocket ที่เข้ารหัส ทำให้ตรวจจับยากในทราฟฟิกปกติ Turla ใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึด เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที เพื่อ stage และส่งเพย์โหลด นักวิจัย Google ระบุว่ามันมีความเชื่อมโยงกับชุดเครื่องมือ KAZUAR ของกลุ่มเดียวกัน

มัลแวร์ใหม่ SharkLoader ปล่อย Cobalt Strike ในปฏิบัติการ StrikeShark โจมตีหน่วยงานรัฐในเอเชีย

New SharkLoader malware deploys Cobalt Strike in StrikeShark cyberattacks
Kaspersky เปิดเผยมัลแวร์ใหม่ SharkLoader ที่ทำหน้าที่เป็น loader ปล่อย Cobalt Strike Beacon ลงเครื่องเหยื่อ ภายใต้ปฏิบัติการชื่อ StrikeShark เชื่อว่าเป็นฝีมือผู้โจมตีพูดภาษาจีน เป้าหมายครอบคลุมหน่วยงานทูตในอินโดนีเซีย หน่วยงานรัฐไต้หวัน และบริษัทพัฒนาซอฟต์แวร์หลายประเทศ ใช้ช่องโหว่สาธารณะหลายรายการเจาะระบบ เช่น ProxyLogon, Openfire, GeoServer แล้วใช้เทคนิค Perfect DLL Hijacking โหลด Cobalt Strike เข้าหน่วยความจำเพื่อหลบการตรวจจับ

เปิดโปงระบบนิเวศแฮ็กเกอร์รับจ้างของจีน — บริษัทเอกชนสร้างมัลแวร์ บอตเน็ต และขายข้อมูลให้หน่วยข่าวกรองรัฐ

Chinese cyber contractors use malware botnets and stolen data to enable state operations
นักวิจัย BindingHook เปิดเผยว่าปฏิบัติการไซเบอร์ของจีนพัฒนาเป็นระบบนิเวศเชิงพาณิชย์ มีบริษัทเอกชน ผู้รับเหมา และนายหน้าข้อมูลร่วมกันทำจารกรรมให้หน่วยข่าวกรอง กลุ่มอย่าง Salt Typhoon, Flax Typhoon และ Volt Typhoon พึ่งพาชั้นพาณิชย์นี้ นักวิจัยเสนอกรอบ composite responsibility เอกสารรั่วของ I-Soon เผยการโจมตีรัฐบาลอย่างน้อย 14 ประเทศ บอตเน็ต Raptor Train เชื่อมโยง Integrity Tech

หน่วยข่าวกรองแคนาดาใช้หมายศาลครั้งแรก เข้าล้างบอตเน็ตในอุปกรณ์ IoT/เราเตอร์บนแผ่นดินตัวเอง — ทลายเครือข่ายรัฐต่างชาติ 2 กลุ่ม

Canadian Security Intelligence Service used first-of-its-kind warrant to clean botnet-infected devices
ศาลกลางแคนาดาเปิดเผยคำพิพากษาเมื่อ 15 มิถุนายน 2026 ว่าหน่วยข่าวกรอง CSIS ได้รับอนุญาตใช้หมายลดภัยคุกคามเป็นครั้งแรก เข้าแก้ไข ลดทอน และทำลายข้อมูลบอตเน็ตในเซิร์ฟเวอร์ เราเตอร์ SOHO และอุปกรณ์ IoT บนแผ่นดินแคนาดา เพื่อตัดอุปกรณ์ออกจากเครือข่ายรัฐต่างชาติ 2 กลุ่ม เป้าหมายรวมถึง Ring doorbell กล้องวงจรปิด และทีวี Wi-Fi คดีนี้คล้ายปฏิบัติการ FBI ล้าง KV-botnet ของ Volt Typhoon

แฮ็กเกอร์จีน UNC6508 ฝังมัลแวร์ InfiniteRed ในเซิร์ฟเวอร์ REDCap — ขโมยงานวิจัยทางการแพทย์นานกว่า 1 ปีโดยไม่มีใครรู้

Chinese hackers deploy InfiniteRed malware on REDCap medical research servers
กลุ่มจารกรรมจีน UNC6508 โจมตีเซิร์ฟเวอร์ REDCap ของสถาบันวิจัยการแพทย์ในอเมริกาเหนือ ฝังมัลแวร์ InfiniteRed ที่ออกแบบมาเฉพาะสำหรับระบบ REDCap แฝงตัวอยู่นานกว่า 1 ปี ขโมย credential และใช้ฟีเจอร์ content compliance ส่งข้อมูลออกผ่านอีเมลอัตโนมัติ Google แจ้งเตือนหลายองค์กรในสหรัฐฯ และแคนาดาที่ได้รับผลกระทบ

APT28 (Fancy Bear) ยกระดับโจมตีด้วยเราเตอร์ SOHO และบริการคลาวด์ — กระทบ 120 ประเทศ

APT28 Fancy Bear hackers abuse compromised EdgeRouters and cloud services for stealthy cyberattacks
กลุ่มแฮ็กเกอร์ APT28 หรือ Fancy Bear ซึ่งเชื่อมโยงกับหน่วยข่าวกรองทางทหารรัสเซีย GRU Unit 26165 ปรับกลยุทธ์มาใช้เราเตอร์ SOHO ที่ถูกบุกรุกเป็นโครงสร้างพื้นฐานหลักในการโจมตี รายงานจาก Sekoia เผยว่ากลุ่มนี้เข้ายึด botnet MooBot ของเราเตอร์ Ubiquiti EdgeRouter ตั้งแต่ปี 2565 และในปี 2569 เปิดแคมเปญ FrostArmada มุ่งเป้าเราเตอร์ MikroTik และ TP-Link ส่งผลกระทบต่ออุปกรณ์กว่า 18,000 IP ใน 120 ประเทศ กลุ่มนี้ยังพัฒนาเครื่องมือใหม่หลายตัวรวมถึง LameHug ที่ใช้ AI สร้างคำสั่งโจมตีแบบ real-time

FBI ยึด 13 เว็บไซต์บริษัทที่ปรึกษาปลอมของจีน — หลอกจ้างเจ้าหน้าที่สหรัฐฯ ที่มี Security Clearance ให้ขายข้อมูลลับ

FBI seizure notice on fake Chinese consulting website
กระทรวงยุติธรรมสหรัฐฯ และ FBI ยึดโดเมน 13 รายการที่ปลอมเป็นบริษัทที่ปรึกษา ใช้หลอกจ้างอดีตและปัจจุบันเจ้าหน้าที่รัฐบาลสหรัฐฯ ที่มี security clearance ให้ทำงานวิจัยแลกเงิน แล้วค่อยๆ ชักนำให้เปิดเผยข้อมูลลับที่ไม่มีสิทธิ์เผยแพร่ ปฏิบัติการเริ่มตั้งแต่พฤศจิกายน 2566 ใช้ตัวตนปลอม รูป AI และคริปโทเคอร์เรนซีในการจ่ายเงิน

มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย

SHEETCREEP RAT Google Sheets API C2 diplomatic espionage
บริษัท Securonix เปิดเผยแคมเปญจารกรรมที่ใช้มัลแวร์ SHEETCREEP ซึ่งเป็น C# RAT ขนาดเพียง 20 KB ใช้ Google Sheets API เป็นช่องทาง C2 เพื่อโจมตีองค์กรการทูต โดยหลอกล่อเหยื่อด้วยไฟล์ ISO ปลอมเป็นเอกสาร UAE-India Strategic Partnership Week พบเหยื่อ 91 รายจากการเข้าถึง spreadsheet C2 โดยตรง เชื่อมโยงกับกลุ่ม APT36 (Transparent Tribe) ที่มีแนวร่วมกับปากีสถาน

OP-512 กลุ่มจารกรรมจีนฝัง Web Shell Framework สั่งงานเซิร์ฟเวอร์ IIS ของ Microsoft — ใช้ Timestomping ซ่อนร่องรอย

OP-512 China-linked threat cluster targeting IIS servers
นักวิจัยจาก ReliaQuest ค้นพบกลุ่มภัยคุกคามใหม่ชื่อ OP-512 ที่เชื่อมโยงกับจีน โจมตีเซิร์ฟเวอร์ Microsoft IIS ด้วย web shell framework แบบสั่งทำพิเศษ 3 ตัว พร้อมใช้เทคนิค timestomping ปลอมแปลงเวลาไฟล์เพื่อหลบการตรวจจับ เป้าหมายเป็นองค์กรที่ตรงกับลำดับความสำคัญด้านข่าวกรองของจีน