Mustang Panda โจมตีไทย! SnakeDisk USB ส่ง Yokai Backdoor

Mustang Panda ใช้ SnakeDisk USB Worm ส่ง Yokai Backdoor โจมตี IP ในประเทศไทย

สวัสดีผู้สนใจเรื่องความปลอดภัยไซเบอร์ทุกคน! ถ้าคุณกำลังกังวลกับภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปยังประเทศไทย ข่าวล่าสุดจาก IBM X-Force เผยว่า Mustang Panda กลุ่มแฮกเกอร์ที่เชื่อมโยงกับจีน ได้อัปเกรดอาวุธด้วย SnakeDisk USB Worm ตัวใหม่ เพื่อส่ง Yokai Backdoor เข้าสู่ระบบที่ใช้ IP ในประเทศไทย ช่องทางโจมตีนี้เน้นระบบ air-gapped (ระบบแยกจากอินเทอร์เน็ต) และอาจเชื่อมโยงกับความตึงเครียดชายแดนไทย-กัมพูชาในปี 2025 ทำให้ผู้ใช้ในไทยต้องระวัง USB จากแหล่งไม่น่าเชื่อถือมากขึ้น บทความนี้จะพาคุณเข้าใจการโจมตีของ Mustang Panda แบบง่ายๆ โดยไม่ลงลึกทางเทคนิค พร้อมเคล็ดลับป้องกันที่เหมาะสำหรับบุคคลทั่วไปและองค์กรในประเทศไทย ซึ่งแตกต่างจากรายงานทางเทคนิคทั่วไปโดยเน้นผลกระทบจริงและวิธีรับมือทันที ไปดูกันเลย!

Mustang Panda คือใคร? กลุ่มภัยคุกคามที่โฟกัสเอเชียตะวันออกเฉียงใต้

Mustang Panda หรือ Hive0154 เป็นกลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลจีน เริ่มกิจกรรมมาตั้งแต่ปี 2012 ชื่ออื่นๆ ที่ใช้เรียก เช่น Bronze President, Stately Taurus หรือ RedDelta กลุ่มนี้มักโจมตีหน่วยงานรัฐบาลและองค์กรในเอเชีย โดยเฉพาะไต้หวัน ฟิลิปปินส์ และล่าสุดประเทศไทย การโจมตีมักเริ่มจากอีเมลฟิชชิ่งเพื่อดาวน์โหลดมัลแวร์อย่าง TONESHELL หรือ PUBLOAD ซึ่งเป็น backdoor ที่ช่วยดาวน์โหลด payload ถัดไป ในปี 2025 กลุ่มนี้พัฒนาอาวุธใหม่เพื่อเจาะระบบที่แยกจากเน็ต เช่น หน่วยงานรัฐหรือบริษัทที่ใช้ air-gapped network โดยใช้ USB เป็นตัวกลาง SnakeDisk เป็น worm ใหม่ที่คล้าย Tonedisk (หรือ WispRider) แต่ฉลาดกว่าในการแพร่กระจายและหลบหลีกการตรวจจับ

SnakeDisk USB Worm: อาวุธใหม่ที่เจาะระบบแยกด้วย IP ไทย

SnakeDisk เป็น USB worm ที่ออกแบบมาเพื่อแพร่กระจายผ่านอุปกรณ์ถอดได้ โดยเฉพาะ USB มันตรวจจับ IP สาธารณะที่ตั้งอยู่ในประเทศไทยเท่านั้น (geofenced) ถ้า IP ไม่ใช่ไทย มันจะไม่ทำงาน ทำให้การโจมตีมุ่งเป้าเฉพาะ ทำให้ดูเหมือนแฟ้มปกติ แต่จริงๆ แล้วซ่อนมัลแวร์ วิธีการทำงาน: เมื่อเสียบ USB SnakeDisk จะย้ายไฟล์เดิมไปโฟลเดอร์ย่อย แล้วสร้างไฟล์ปลอมชื่อ "USB.exe" หรือชื่อ volume ของ USB เพื่อหลอกให้ผู้ใช้คลิก เมื่อรัน มันจะคัดลอกไฟล์กลับและติดตั้ง Yokai Backdoor ซึ่งเป็น backdoor ที่ตั้ง reverse shell เพื่อให้แฮกเกอร์รันคำสั่งจากระยะไกล เช่น ขโมยข้อมูลหรือติดตั้งมัลแวร์เพิ่ม TONESHELL เวอร์ชันใหม่ (TONESHELL8 และ 9) ที่ใช้ร่วมกัน มีฟีเจอร์หลบ detection โดยใช้ proxy ท้องถิ่นเพื่อซ่อนการสื่อสาร C2 และ junk code จากเว็บ OpenAI เพื่อต้านวิเคราะห์ นอกจากนี้ มันรองรับ reverse shell สองตัวพร้อมกันเพื่อเพิ่มประสิทธิภาพ การโจมตีนี้พบไฟล์อัปโหลดจากสิงคโปร์และไทยในกลางปี 2025 และเชื่อมโยงกับความขัดแย้งชายแดนไทย-กัมพูชาในพฤษภาคม 2025 ที่มีทหารกัมพูชาเสียชีวิต

เพื่อให้เห็นภาพ ลองดูตารางสรุปมัลแวร์หลัก

มัลแวร์	ฟังก์ชันหลัก	จุดเด่น	ผลกระทบในไทย
SnakeDisk	USB worm สำหรับแพร่กระจาย	Geofenced IP ไทย, ซ่อนไฟล์ USB	เจาะ air-gapped, ส่ง Yokai
Yokai Backdoor	Reverse shell สำหรับควบคุม	คล้าย PUBLOAD/TONESHELL	ขโมยข้อมูลรัฐบาล/องค์กร
TONESHELL8/9	Backdoor ดาวน์โหลด payload	ใช้ proxy หลบ detection, Junk code	สื่อสาร C2 แบบซ่อนเร้น

Yokai นี้คล้าย backdoor อื่นๆ ของ Mustang Panda แต่ปรับปรุงให้เหมาะกับไทย โดย Netskope พบใช้กับเจ้าหน้าที่ไทยตั้งแต่ธันวาคม 2024 การโจมตีนี้แสดงถึงการพัฒนาของกลุ่มที่โฟกัสไทยมากขึ้น อาจเพื่อสอดแนมหรือกดดันทางการเมือง เช็คจาก GBHackers

ผลกระทบต่อประเทศไทยและเคล็ดลับป้องกัน Mustang Panda

การโจมตีนี้มุ่งเป้าที่หน่วยงานรัฐและบริษัทในไทย โดย SnakeDisk สามารถเจาะระบบที่แยกจากเน็ต ทำให้ข้อมูลลับเสี่ยงรั่วไหลหรือถูกควบคุมจากระยะไกล IBM ชี้ว่ากลุ่มนี้มี sub-group เฉพาะสำหรับไทย และอาวุธใหม่นี้แสดงถึงการพัฒนาที่รวดเร็ว ด้วยการใช้ USB ทำให้ยากต่อการตรวจจับในองค์กรที่ห้ามเชื่อมเน็ต

• เคล็ดลับป้องกันสำหรับผู้ใช้ไทย:
  • ตรวจสอบ USB: อย่าเสียบ USB จากแหล่งไม่น่าเชื่อถือ ใช้เครื่องสแกนมัลแวร์ก่อน
  • อัปเดตระบบ: ใช้ antivirus ที่ตรวจจับ worm และ backdoor เช่น Windows Defender หรือ ESET
  • หลีกเลี่ยงฟิชชิ่ง: อย่าเปิดไฟล์จากอีเมลแปลก และใช้ VPN สำหรับ IP สาธารณะ
  • สำหรับองค์กร: ใช้ air-gapped อย่างเข้มงวด และฝึกอบรมพนักงานเรื่อง USB worm

การโจมตีแบบนี้เตือนว่าประเทศไทยเป็นเป้าหมายใหญ่ในเอเชียตะวันออกเฉียงใต้ โดย Mustang Panda ใช้เทคนิคที่พัฒนาต่อเนื่อง

คำถามที่พบบ่อย (FAQ) เกี่ยวกับ Mustang Panda และ SnakeDisk

เพื่อตอบคำถามที่ผู้ใช้อาจสงสัย เราได้รวบรวม FAQ สั้นๆ จากบริบทการโจมตี:

• Mustang Panda คือกลุ่มอะไร? กลุ่มแฮกเกอร์จากจีนที่โจมตีเอเชียตั้งแต่ 2012 มุ่งเป้าที่รัฐบาลและองค์กร
• SnakeDisk ทำงานยังไง? เป็น USB worm ที่แพร่กระจายผ่าน USB ทำงานเฉพาะ IP ไทย แล้วส่ง Yokai Backdoor
• Yokai Backdoor ทำอะไรได้บ้าง? ตั้ง reverse shell เพื่อรันคำสั่งจากแฮกเกอร์ เช่น ขโมยข้อมูลหรือติดตั้งมัลแวร์
• ทำไมโจมตีไทย? เชื่อมโยงกับความตึงเครียดชายแดนไทย-กัมพูชาใน 2025 เพื่อสอดแนมหรือกดดัน
• ป้องกันยังไง? ตรวจ USB ด้วย antivirus, อัปเดตระบบ, และหลีกเลี่ยงไฟล์จากอีเมลแปลก

สรุป: Mustang Panda ยกระดับภัยคุกคาม – ไทยต้องระวัง SnakeDisk

Mustang Panda กำลังพัฒนาอาวุธใหม่อย่าง SnakeDisk USB Worm เพื่อส่ง Yokai Backdoor มุ่งเป้า IP ในประเทศไทย โดยเฉพาะระบบ air-gapped ที่สำคัญทางยุทธศาสตร์ การโจมตีนี้ไม่ใช่แค่เทคนิค แต่เชื่อมโยงกับสถานการณ์การเมือง ทำให้ผู้ใช้และองค์กรในไทยต้องเพิ่มความระวัง ถ้าคุณใช้ USB บ่อย อย่าลืมสแกนก่อน! คุณเคยเจอ USB แปลกๆ ไหม? หรือมีเคล็ดลับป้องกัน Mustang Panda อะไรบ้าง? คอมเมนต์บอกเราด้านล่าง! แชร์บทความนี้ให้เพื่อนในไทยเพื่อช่วยกันตื่นตัว และ สมัครรับข่าวสารฟรี เพื่ออัปเดตภัย Cybersecurity ล่าสุด สมัครที่นี่