542/68 (IT) ประจำวันอังคารที่ 23 ธันวาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบความเคลื่อนไหวของกลุ่มผู้โจมตีระดับสูง (APT) รู้จักกันในชื่อ “Infy” หรือ “Prince of Persia” เป็นกลุ่มที่มีประวัติการปฏิบัติการยาวนาน การกลับมาครั้งนี้พบการขยายเป้าหมายไปยังเหยื่อในหลายภูมิภาคทั่วโลก โดยใช้มัลแวร์ตัวกลางสำหรับดาวน์โหลด (Downloader) Foudre เวอร์ชัน 34 เพื่อติดตั้งมัลแวร์ขโมยข้อมูลระยะสองชื่อ Tonnerre ลงในเครื่องเป้าหมาย โดยเวอร์ชันล่าสุดถูกตรวจพบเมื่อเดือนกันยายน 2025
ปฏิบัติการครั้งล่าสุดปรับเปลี่ยนพฤติกรรมจากการใช้ไฟล์เอกสารฝัง Macro เป็นการฝังไฟล์ปฏิบัติการ (Executable) ลงในเอกสาร Excel เพื่อหลบเลี่ยงการตรวจจับ จุดสำคัญคือการใช้อัลกอริทึมสร้างโดเมนอัตโนมัติ (Domain Generation Algorithm: DGA) เพื่อเพิ่มความทนทานให้โครงสร้างเซิร์ฟเวอร์สั่งการ (C2) และใช้กลไกตรวจสอบความถูกต้องของเซิร์ฟเวอร์อย่างเข้มงวด โดยมัลแวร์จะดาวน์โหลดไฟล์ลายเซ็นดิจิทัล (RSA Signature) มาตรวจสอบกับ Public Key ที่ฝังอยู่ในตัว เพื่อยืนยันว่าเป็นเซิร์ฟเวอร์ของกลุ่มก่อนจะเริ่มการสื่อสาร
นอกจากนี้พบว่ามัลแวร์ Tonnerre เวอร์ชันล่าสุดได้เพิ่มความสามารถในการใช้ Telegram เป็นช่องทางสำรองสำหรับสั่งการและควบคุมผ่านบอตและกลุ่มลับเพื่อรับคำสั่งและส่งข้อมูลออกจากระบบ นอกจากนี้ยังพบมัลแวร์อื่น ๆ ที่เกี่ยวข้อง เช่น MaxPinner ซึ่งออกแบบมาเพื่อดักจับเนื้อหาใน Telegram โดยเฉพาะ การค้นพบนี้ยืนยันว่ากลุ่ม Infy ไม่ได้ยุติปฏิบัติการ แต่ยังคงพัฒนาเครื่องมือให้ซับซ้อนและแนบเนียนยิ่งขึ้นเพื่อรองรับการจารกรรมข้อมูลในระยะยาว
แหล่งข่าว https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
