Kaspersky เปิดโปงปฏิบัติการ “ForumTroll” พบการกลับมาของ “HackingTeam” ในชื่อใหม่ “Memento Labs” พร้อมอาวุธเชิงพาณิชย์ “Dante” สปายแวร์ล้ำลึกที่มุ่งเป้าโจมตีสถาบันการเงิน องค์กรภาครัฐ และสื่อ ผ่านช่องโหว่ซีโร่เดย์ของ Google Chrome ตอกย้ำตลาดมืด “สปายแวร์เชิงพาณิชย์” ยังคงเป็นภัยคุกคามทางเศรษฐกิจที่ร้ายแรง
เขาหลัก, ประเทศไทย – วงการความมั่นคงปลอดภัยไซเบอร์ต้องสั่นสะเทือนอีกครั้ง เมื่อ Kaspersky Global Research and Analysis Team (GReAT) ทีมนักวิจัยชั้นนำระดับโลกของแคสเปอร์สกี ได้ออกมาเปิดเผยการค้นพบระลอกใหม่ของการโจมตีทางไซเบอร์ที่เชื่อมโยงโดยตรงไปยัง Memento Labs ซึ่งเป็นที่รู้จักกันในฐานะผู้สืบทอดของ HackingTeam บริษัทฉาวโฉ่ในอดีตที่ค้าสปายแวร์
การค้นพบครั้งสำคัญนี้ถูกนำเสนอในงานประชุมสุดยอดนักวิเคราะห์ความปลอดภัย Security Analyst Summit 2025 (SAS 2025) ซึ่งจัดขึ้นที่ประเทศไทย ชี้ให้เห็นถึงการกลับมาของภัยคุกคามระดับสูงที่เงียบหายไปนานหลายปี และกำลังส่งผลกระทบโดยตรงต่อองค์กรธุรกิจและหน่วยงานสำคัญหลายแห่ง
จาก “ForumTroll” สู่การค้นพบ “Dante” สปายแวร์การค้าตัวใหม่
จุดเริ่มต้นของการสืบสวนครั้งนี้ มาจากปฏิบัติการจารกรรมทางไซเบอร์ที่ใช้ชื่อว่า “Operation ForumTroll” ซึ่งทาง Kaspersky GReAT ได้เปิดโปงไปเมื่อเดือนมีนาคม 2025
ปฏิบัติการนี้มีความซับซ้อนสูง โดยกลุ่มผู้โจมตี (APT) ได้ใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ (Zero-day) ที่ไม่เคยมีใครรู้มาก่อนของ Google Chrome (CVE-2025-2783) เพื่อเจาะเข้าระบบเป้าหมาย
กลุ่ม APT ดังกล่าวได้ส่งอีเมลฟิชชิ่งแบบเจาะจงตัวบุคคล โดยปลอมแปลงเป็นคำเชิญเข้าร่วมฟอรัม “Primakov Readings” พุ่งเป้าโจมตีไปยัง องค์กรสื่อของรัสเซีย, องค์กรภาครัฐ, สถาบันการศึกษา และโดยเฉพาะอย่างยิ่ง สถาบันการเงิน การโจมตีที่มุ่งเน้นสถาบันการเงิน สะท้อนถึงมูลค่าทางเศรษฐกิจมหาศาลที่แฮกเกอร์หวังผล ทั้งข้อมูลทางการเงิน ข้อมูลความลับทางการค้า หรือแม้แต่การสร้างความปั่นป่วนในระบบเศรษฐกิจ
ในระหว่างการสืบสวน ForumTroll นักวิจัยพบว่าแฮกเกอร์ใช้สปายแวร์ชื่อ “LeetAgent” ซึ่งมีความโดดเด่นที่หาได้ยากในมัลแวร์ระดับ APT คือการใช้คำสั่งที่เขียนด้วย “leetspeak” (ภาษาวิบัติที่ใช้ตัวเลขแทนตัวอักษร)
Memento Labs: การคืนชีพของ HackingTeam ในตลาดมืด
การวิเคราะห์ LeetAgent นำไปสู่การค้นพบที่ใหญ่กว่า นักวิจัยพบว่าในบางกรณี LeetAgent ถูกใช้เพื่อปล่อยสปายแวร์อีกตัวหนึ่งที่ล้ำหน้ากว่า หรือในบางครั้งก็ใช้เฟรมเวิร์กโหลดเดอร์ (Loader Framework) ร่วมกัน ซึ่งยืนยันความเชื่อมโยงของเครื่องมือและปฏิบัติการโจมตีทั้งสองส่วน
สปายแวร์ตัวที่สองนี้ ใช้เทคนิคการต่อต้านการวิเคราะห์ขั้นสูง (Anti-analysis) รวมถึงการอำพรางโค้ดด้วย VMProtect เพื่อหลบเลี่ยงการตรวจจับจากโปรแกรมความปลอดภัย อย่างไรก็ตาม ในที่สุด Kaspersky ก็สามารถดึงชื่อของมัลแวร์นี้ออกมาจากโค้ดได้ และระบุว่ามันคือ “Dante”
นี่คือจุดเปลี่ยนสำคัญของการสืบสวน นักวิจัยพบว่า Memento Labs ซึ่งเป็นบริษัทที่รีแบรนด์มาจาก HackingTeam ในอดีต ได้โปรโมตสปายแวร์เชิงพาณิชย์ในชื่อเดียวกันนี้ ยิ่งไปกว่านั้น ตัวอย่างสปายแวร์ Remote Control System (RCS) ของ HackingTeam ในยุคหลังสุดที่ Kaspersky GReAT ได้มา ก็ยังมีความคล้ายคลึงกับ Dante อีกด้วย
นี่จึงเป็นการยืนยันว่า Memento Labs กำลังสานต่อธุรกิจค้าอาวุธไซเบอร์ของ HackingTeam อย่างเต็มรูปแบบ โดยมี Dante เป็นผลิตภัณฑ์เรือธงตัวใหม่
“Dante”: ขุมนรกสำหรับนักวิเคราะห์ความปลอดภัย
นายบอริส ลาริน หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky GReAT กล่าวถึงความท้าทายในการเปิดโปงครั้งนี้ว่า “แม้ว่าการมีอยู่ของผู้ค้าสปายแวร์จะเป็นที่ทราบกันดีในอุตสาหกรรม แต่ผลิตภัณฑ์ของพวกเขายังคงสลับซับซ้อน โดยเฉพาะในการโจมตีแบบเจาะจงที่การระบุตัวตนนั้นยากมาก”
“การค้นพบต้นกำเนิดของ Dante จำเป็นต้องลอกชั้นของโค้ดที่ถูกอำพรางไว้อย่างหนักหน่วง ติดตามรอยนิ้วมือที่หายากเพียงหยิบมือตลอดวิวัฒนาการของมัลแวร์หลายปี และเชื่อมโยงพวกมันเข้ากับสายเลือดขององค์กร” เขากล่าวเสริมว่า “บางทีนี่อาจเป็นเหตุผลที่พวกเขาเรียกมันว่า Dante (สื่อถึง ‘นรก’ ในวรรณกรรม) มันคือการเดินทางที่ยากลำบากสำหรับใครก็ตามที่พยายามค้นหารากเหง้าของมัน”
เพื่อหลีกเลี่ยงการตรวจจับ Dante ได้รวมเอากลไกพิเศษในการวิเคราะห์สภาพแวดล้อมของมันก่อน เพื่อตัดสินใจว่าจะสามารถทำงานจารกรรมข้อมูลได้อย่างปลอดภัยหรือไม่
ภัยคุกคามที่ยังคงอยู่ต่อเศรษฐกิจและสังคม
แม้การสืบสวนจะพบว่าการใช้ LeetAgent ครั้งแรกย้อนกลับไปถึงปี 2022 แต่ปฏิบัติการของกลุ่ม ForumTroll APT ยังคงดำเนินต่อไป โดยมุ่งเป้าไปที่องค์กรและบุคคลใน รัสเซียและเบลารุส
ข้อสังเกตหนึ่งที่น่าสนใจคือ กลุ่มผู้โจมตีมีความเชี่ยวชาญใน ภาษารัสเซีย และเข้าใจความแตกต่างทางวัฒนธรรมและบริบทท้องถิ่นเป็นอย่างดี แม้ว่าจะมีข้อผิดพลาดเล็กน้อยที่บ่งชี้ว่าผู้โจมตีอาจไม่ใช่เจ้าของภาษา
การโจมตีที่ใช้ LeetAgent นี้ ถูกตรวจพบครั้งแรกโดยโซลูชันสำหรับองค์กร Kaspersky Next XDR Expert ซึ่งสะท้อนถึงความสำคัญของการป้องกันเชิงรุกในระดับองค์กร เพื่อรับมือกับภัยคุกคามที่มีความซับซ้อนและได้รับการสนับสนุนทางการเงินในระดับ “เชิงพาณิชย์” เช่นนี้
การกลับมาของ HackingTeam ในนาม Memento Labs ตอกย้ำว่าตลาดสปายแวร์เพื่อการจารกรรมยังคงมีอยู่และเติบโต มันไม่ใช่แค่เรื่องของอาชญากรไซเบอร์รายย่อย แต่เป็น “ธุรกิจ” ที่พัฒนาและขายอาวุธดิจิทัลให้กับผู้ที่ยินดีจ่าย ไม่ว่าจะเป็นรัฐบาล หรือองค์กรเอกชน เพื่อผลประโยชน์ทางการเมืองหรือทางเศรษฐกิจ ซึ่งสร้างความเสี่ยงมหาศาลต่อความมั่นคงของบริษัทและระบบเศรษฐกิจโดยรวม
สำหรับรายละเอียดทางเทคนิคฉบับเต็ม รวมถึงตัวบ่งชี้การบุกรุก (Indicators of Compromise) จะมีให้สำหรับลูกค้าบริการ Kaspersky Threat Intelligence Portal และสามารถอ่านบทความเพิ่มเติมได้ที่ Securelist.com
#TheReporterAsia #ข่าวเศรษฐกิจ #ภัยไซเบอร์ #HackingTeam #MementoLabs #Kaspersky #แคสเปอร์สกี #สปายแวร์ #Dante #OperationForumTroll #ความมั่นคงปลอดภัยไซเบอร์ #Cybersecurity #จารกรรมข้อมูล #เศรษฐกิจดิจิทัล
