AI ในมือแฮกเกอร์ สอดแนมทางไซเบอร์ยุคใหม่

 
 

เมื่อ AI กลายเป็นเครื่องมือสอดแนมไซเบอร์ของรัฐ | วิเคราะห์เทรนด์ภัยคุกคามและบทเรียนจากเกาหลีเหนือ

ในยุคที่เทคโนโลยีปัญญาประดิษฐ์ (AI) กำลังเข้ามามีบทบาทในชีวิตประจำวันอย่างรวดเร็ว ปรากฏการณ์การนำ AI ไปใช้เพื่อวัตถุประสงค์ทางไซเบอร์โดยรัฐ กำลังกลายเป็นความท้าทายใหม่สำหรับโลกความปลอดภัยไซเบอร์ กรณีล่าสุดของกลุ่มแฮกเกอร์เกาหลีเหนือ Kimsuky APT ซึ่งถูกตรวจพบโดยศูนย์ความปลอดภัย Genians (GSC) เมื่อวันที่ 17 กรกฎาคม 2025 เป็นตัวอย่างที่ชัดเจน

AI กับเทคนิคการโจมตีไซเบอร์ของรัฐ

Kimsuky ใช้ AI เชิงกำเนิด (generative AI) อย่าง ChatGPT เพื่อสร้างภาพบัตรประจำตัวทหารปลอม (Deepfake ID) ซึ่งถูกนำไปใช้ในอีเมล Spear‑Pishing โดยแอบอ้างเป็นหน่วยงานทางการของเกาหลีใต้ การโจมตีนี้ไม่ใช่แค่เรื่องของการหลอกลวงเพียงอย่างเดียว แต่ยังสะท้อนถึงแนวทางใหม่ของการใช้ AI เพื่อสร้างเนื้อหา 'ให้น่าเชื่อถือ' ในกิจกรรมสอดแนมไซเบอร์

แม้ว่า ChatGPT จะถูกออกแบบให้ปฏิเสธการสร้างเอกสารสำคัญหรือข้อมูลที่มีการคุ้มครอง แต่แฮกเกอร์สามารถปรับคำสั่ง (Prompt) ให้ AI สร้าง Mock‑up หรือตัวอย่างที่ถูกกฎหมาย เพื่อใช้ประกอบอีเมลหลอกลวงได้

เทคนิคหลบหลีกการตรวจจับ

กลุ่ม Kimsuky ไม่ได้พึ่งพา AI เพียงอย่างเดียว แต่ใช้เทคนิคหลบหลีกการตรวจจับหลายชั้น (Multi-Layered Evasion Techniques) ได้แก่

  • ซ่อนคำสั่งในไฟล์ Shortcut (.lnk) — คำสั่ง PowerShell ถูกเข้ารหัสและประกอบทีละตัวอักษร ทำให้แอนตี้ไวรัสตรวจจับได้ยาก
  • ใช้สคริปต์ Batch และหน่วงเวลา — ดาวน์โหลด Payload จาก C2 Server พร้อมใส่ delay เพื่อหลีกเลี่ยง Sandbox หรือ Dynamic Analysis
  • Obfuscation ด้วย AutoIt — Payload ขั้นสุดท้าย ถูกพรางตัวเป็นอัปเดตซอฟต์แวร์และเข้ารหัสสตริง ทำให้ยากต่อการวิเคราะห์แบบ Static

เทคนิคเหล่านี้ทำให้มัลแวร์มีลักษณะ Polymorphic และ Metamorphic คือ เปลี่ยนรูปร่างและโครงสร้างได้ตลอดเวลา ทำให้ระบบตรวจจับแบบ Signature-based ทำงานได้ไม่เต็มประสิทธิภาพ

แนวโน้มและผลกระทบต่อโลกไซเบอร์

การใช้ AI เป็นเครื่องมือสอดแนมไซเบอร์โดยรัฐ มีแนวโน้มที่น่ากังวลหลายด้าน อาทิ

  • การสร้างเนื้อหาหลอกลวง (Deepfake) และ Spear-Phishing ที่เชื่อถือได้มากขึ้น ทำให้ผู้ใช้งานทั่วไปและองค์กรตกเป็นเหยื่อได้ง่าย
  • การผสมผสานเทคนิคหลบหลีกหลายชั้น ทำให้ภัยคุกคามมีความซับซ้อน และยากต่อการตรวจจับด้วยเครื่องมือแบบเดิม
  • การนำ AI มาสนับสนุนกิจกรรมสอดแนมของรัฐ ชี้ให้เห็นว่าเทคโนโลยีที่สร้างสรรค์สามารถถูกนำไปใช้ในทางที่เป็นอันตรายได้

บทเรียนและแนวทางรับมือ

องค์กรและผู้ใช้งานควรปรับแนวทางป้องกันให้สอดคล้องกับภัยคุกคามยุค AI โดย

  • ใช้ EDR (Endpoint Detection and Response) เพื่อติดตามพฤติกรรมผิดปกติและ Chain of Attack แบบเรียลไทม์
  • จำกัดการรันสคริปต์และไฟล์ปฏิบัติการ จากอีเมลและไฟล์ ZIP ภายนอก
  • ตรวจสอบโดเมนและ SPF/DKIM เพื่อป้องกันการปลอมแปลงอีเมล
  • ฝึกอบรมพนักงานด้านความปลอดภัยไซเบอร์ ให้สังเกตสัญญาณของ Spear‑Phishing และหลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์ที่ไม่น่าเชื่อถือ

กรณี Kimsuky แสดงให้เห็นว่า AI สามารถกลายเป็นเครื่องมือสอดแนมไซเบอร์ของรัฐที่ซับซ้อนและน่ากังวล การเข้าใจรูปแบบเทคนิคและแนวโน้มการโจมตีดังกล่าวจะช่วยให้องค์กรสามารถปรับระบบป้องกันจากแอนตี้ไวรัสแบบเดิมไปสู่การตรวจจับพฤติกรรม และการวิเคราะห์เชิงลึกได้อย่างมีประสิทธิภาพ

ที่มา : Genians

 
Alex Alun