สะท้านวงการไอที! "Infy" กลุ่มแฮกเกอร์รุ่นเก๋าจากอิหร่าน คัมแบ็กพร้อมมัลแวร์ตัวแรง หลังกบดานเงียบนานหลายปี
การกลับมาของ "เจ้าชายแห่งเปอร์เซีย"
หลังจากหายหน้าหายตาไปเกือบ 5 ปี นับจากครั้งล่าสุดที่อาละวาดในสวีเดน เนเธอร์แลนด์ และตุรกี ล่าสุดทีมนักวิจัยจาก SafeBreach พบว่ากลุ่ม Infy ยังไม่ตาย! แถมยังซุ่มพัฒนาเครื่องมือดักจับข้อมูลอย่างต่อเนื่อง โดยกลุ่มนี้ถือเป็นหนึ่งในกลุ่มภัยคุกคามระดับสูง (APT) ที่เก่าแก่ที่สุดกลุ่มหนึ่ง ซึ่งมีประวัติย้อนไปได้ไกลถึงปี 2004 เลยทีเดียว
อาวุธลับชุดใหม่: Foudre และ Tonnerre
รอบนี้พวกเขาไม่ได้มาเล่นๆ ครับ แต่มาพร้อมกับมัลแวร์คู่หูตัวเก่ง:
- Foudre (เวอร์ชัน 34): ทำหน้าที่เป็นตัวบุกเบิก คอยส่งอีเมลหลอกลวง (Phishing) เข้าหาเหยื่อเพื่อประเมินเครื่องเป้าหมาย
- Tonnerre (เวอร์ชัน 12-18 และ 50): มัลแวร์ขั้นที่สองที่จะถูกส่งตามมาเพื่อ "สูบข้อมูล" ออกจากเครื่องที่ตกเป็นเหยื่อ โดยเวอร์ชันล่าสุดเพิ่งถูกตรวจพบเมื่อเดือนกันยายน 2025 นี้เอง
เทคนิคเหนือชั้น: ใช้ AI และ Telegram เข้าช่วย
ความน่ากลัวของการโจมตีครั้งใหม่นี้มีหลายจุดที่น่าสนใจครับ:
- เปลี่ยนแผนการหลอก: จากเดิมที่ใช้ไฟล์ Excel แบบมี Macro ก็เปลี่ยนมาเป็นการฝังไฟล์รันโปรแกรม (.exe) ไว้ในเอกสารแทน
- ระบบตรวจสอบสุดเนี้ยบ: มีการใช้ระบบ Domain Generation Algorithm (DGA) เพื่อเปลี่ยนชื่อโดเมนควบคุมไปเรื่อยๆ ทำให้ตรวจจับได้ยาก แถมยังมีระบบเช็ก "ใบเซอร์" (RSA Signature) เพื่อยืนยันว่าโดเมนที่คุยด้วยเป็นของพวกเดียวกันจริงๆ
- สั่งการผ่าน Telegram: นักวิจัยพบว่ามัลแวร์ Tonnerre มีการติดต่อกับกลุ่มใน Telegram ที่ชื่อว่า "سرافراز" (แปลว่า ด้วยความภาคภูมิใจ) เพื่อรับคำสั่งและส่งข้อมูลออกไป
สรุปสถานการณ์
กลุ่ม Infy พิสูจน์ให้เห็นว่าพวกเขาทำงานเหมือน "หน่วยงานราชการ" ที่มีความแม่นยำและเป็นระบบมาก แม้จะดูเหมือนเงียบหายไปตั้งแต่ปี 2022 แต่ความจริงคือพวกเขากำลังซุ่มอัปเกรดตัวเองอยู่ และตอนนี้เป้าหมายกระจายไปทั่ว ทั้งในอิหร่านเอง อิรัก ตุรกี อินเดีย แคนาดา รวมถึงยุโรปด้วย
ป๋าแหง็มเตือนภัย: ช่วงนี้ใครได้รับอีเมลแปลกๆ ที่มีไฟล์แนบมาด้วย อย่าเผลอไปกดเปิดสุ่มสี่สุ่มห้านะครับ เพราะ "เจ้าชายแห่งเปอร์เซีย" อาจกำลังจ้องข้อมูลในเครื่องคุณอยู่ก็ได้!
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก