รายงานล่าสุดจากทีมวิจัยความปลอดภัยไซเบอร์ Unit 42 ของ Palo Alto Networks เปิดเผยการค้นพบแคมเปญจารกรรมไซเบอร์ระดับชาติที่มีชื่อว่า Shadow Campaigns — การปฏิบัติการโจมตีและสอดแนมข่ายระบบรัฐบาลและโครงสร้างพื้นฐานสำคัญในวงกว้างที่สุดเท่าที่เคยมีมา โดยขยายการ “สำรวจเป้าหมาย” ครอบคลุมเครือข่ายกลุ่มรัฐบาลถึง 155 ประเทศทั่วโลก และมีการพบการ โจมตีสำเร็จจริง ในอย่างน้อย 37 ประเทศ แล้ว
เป้าหมายของการโจมตี: ไม่ใช่แค่ “เจาะระบบ” แต่เป็น “เก็บข้อมูลสีเทา”
ตามรายงาน, กลุ่มปฏิบัติการที่ถูกระบุชื่อรหัสว่า TGR-STA-1030/UNC6619 (เป็นชื่อรหัสวิเคราะห์ภัยคุกคามของ Unit 42) มีพฤติกรรมที่สอดคล้องกับการโจมตีระดับรัฐบาลหรือ “state-aligned” โดยมีเป้าหมายสำคัญในการเก็บข้อมูลเชิงยุทธศาสตร์, เศรษฐกิจ และการเมือง เช่น:
ระบบกระทรวงการคลัง
หน่วยงานตรวจคนเข้าเมืองและการบังคับใช้กฎหมาย
หน่วยงานด้านพลังงานและเหมืองแร่
โครงสร้างพื้นฐานสาธารณูปโภคที่สำคัญ
กระทรวงต่างประเทศและการทูต
รัฐบาลส่วนกลางหลายแห่ง
นักวิเคราะห์เรียกการโจมตีนี้ว่า “espionage operation” — การจารกรรมข้อมูลโดยมีเป้าหมายระยะยาว มากกว่าแค่โจมตีเพื่อสร้างความเสียหายเฉพาะหน้า.
ขนาดของการโจมตี: Recon + Breach
รายงานชี้ว่ากิจกรรมของกลุ่มนี้แบ่งออกเป็นสองส่วนหลัก:
✔️ Reconnaissance (การตรวจสอบเป้าหมายทั่วโลก)
ระหว่างเดือน พ.ย.–ธ.ค. 2025 กลุ่มนี้สแกนระบบของหน่วยงานรัฐบาลใน 155 ประเทศ เพื่อค้นหาช่องโหว่ที่อาจจะโจมตีจริงในอนาคต — เป็นค่าที่น่าตกใจเพราะแทบไม่มีแคมเปญไหนเคยตรวจสอบเป้าหมายมากขนาดนี้มาก่อน.
✔️ Compromise (การโจมตีสำเร็จจริง)
อย่างน้อย 70 องค์กร/หน่วยงาน ใน 37 ประเทศ ถูกเข้าถึงข้อมูลจริง ซึ่งรวมถึงหน่วยงานสำคัญในอเมริกา ยุโรป เอเชีย และแอฟริกา.
ตัวอย่างบางส่วนที่ถูกยืนยันว่าเจาะระบบสำเร็จ ได้แก่:
กระทรวงพลังงานและเหมืองแร่ของบราซิล
ระบบโครงสร้างพื้นฐานของปานามา
หน่วยงานตำรวจ/ตรวจคนเข้าเมืองในหลายประเทศยุโรป
เครือข่ายสายการบินของอินโดนีเซีย
กระทรวงและหน่วยงานทางการของมาเลเซียและมองโกเลีย
หน่วยงานในประเทศไทยที่เกี่ยวข้องกับเศรษฐกิจและการค้าระหว่างประเทศ
โครงสร้างพื้นฐานสาธารณูปโภคของหลายประเทศในแอฟริกา
เทคนิคการโจมตี – พฤติกรรมระดับสูง
กลุ่มนี้ไม่ได้ใช้วิธีโจมตีธรรมดา — รายงานพบว่าพวกเขาใช้เครื่องมือและเทคนิคขั้นสูง เช่น:
🔹 เฟสแรก: Phishing ที่ปรับแต่งเฉพาะเจาะจง
— ส่งอีเมลปลอมที่เหมือนกับประกาศภายในหน่วยงาน เพื่อหลอกให้เปิดไฟล์มัลแวร์.
🔹 ช่องโหว่ที่ใช้โจมตี:
— ใช้ช่องโหว่ที่เป็นที่รู้จักในระบบอย่าง Microsoft Exchange, SAP, และอุปกรณ์เครือข่ายต่างๆ เพื่อฝังตัวในระบบ.
🔹 Rootkit เฉพาะทาง – “ShadowGuard”
— ทีมวิจัยพบ rootkit ที่ทำงานระดับ Linux kernel (eBPF) — ทำให้แทบไม่สามารถตรวจจับได้ง่ายๆ และซ่อนตัวอยู่ใต้การมองเห็นของระบบรักษาความปลอดภัย.
🔹 การซ่อนโครงสร้างเครือข่าย:
— ใช้เซิร์ฟเวอร์จริงในอเมริกา สิงคโปร์ อังกฤษ เป็นจุดปลายทาง พร้อม Tor และ residential proxies เพื่อปกปิดแหล่งที่มา.
สัญญาณเตือนภัยระดับโลก
การโจมตี “Shadow Campaigns” นี้สะท้อนถึงแนวโน้มที่น่ากังวลของ ภัยคุกคามไซเบอร์ระดับรัฐ ที่กำลังเติบโต:
📌 หลายกลุ่มแฮกที่เกี่ยวข้องกับรัฐมีการขยายตัวเพิ่มขึ้น — โดยเฉพาะกลุ่มที่คาดว่าออกมาจากจีน — เป็นรายงานจากนักวิเคราะห์อิสระจำนวนหลายฉบับว่าจีนมีจำนวนกลุ่มแฮกเกอร์เชิงรัฐมากที่สุดในโลก.
📌 เหตุการณ์วิกฤติทางการเมือง เช่น การปิดรัฐบาลสหรัฐในปี 2025 ส่งผลให้กลุ่มโจมตีเร่งกิจกรรมสแกนระบบเป้าหมายในภูมิภาคอเมริกาอย่างมีนัยสำคัญ.
แนวทางป้องกัน – องค์กรต้องเตรียมตัวอย่างไร
เพื่อรับมือกับภัยคุกคามระดับนี้ นักวิเคราะห์เสนอแนวทาง:
🔹 เพิ่มความเข้มงวดด้าน Cyber Hygiene & Awareness
— ฝึกอบรมเจ้าหน้าที่เกี่ยวกับ phishing และวิธีสังเกตไฟล์/อีเมลต้องสงสัย.
🔹 ใช้ Network Monitoring & EDR/XDR เพื่อจับสัญญาณผิดปกติทันที.
🔹 ปรับใช้ Zero Trust Architecture และการควบคุมการเข้าถึงระดับสูง.
🔹 แชร์ข้อมูลภัยคุกคามร่วมกับพันธมิตรในวงอุตสาหกรรมและรัฐบาล เพื่อป้องกันตามแนวรบ.
สรุป
การค้นพบกิจกรรมของกลุ่ม TGR-STA-1030/UNC6619 ในแคมเปญ Shadow Campaigns ถือเป็นหนึ่งในภัยคุกคามไซเบอร์ระดับรัฐที่ใหญ่ที่สุดเท่าที่เคยค้นพบ — สแกนเครือข่ายรัฐบาลใน 155 ประเทศ, เจาะระบบจริงใน อย่างน้อย 37 ประเทศ, พร้อมใช้เทคนิคขั้นสูงเพื่อหลบหลีกการตรวจจับ ซึ่งนี่ไม่ใช่ “การโจมตีทั่วไป” แต่เป็น “สงครามข้อมูลเงา” (Cyber Espionage) ที่กำลังเกิดขึ้นอย่างต่อเนื่อง — ตัวชี้วัดว่าโลกกำลังเผชิญกับยุคใหม่ของการเฝ้าดู รวบรวมข้อมูล และแข่งขันด้านความมั่นคงไซเบอร์ในระดับประเทศ. ที่มา : State actor targets 155 countries in ‘Shadow Campaigns’ espionage op
