กลุ่มอาชญากรไซเบอร์สัญชาติจีนที่จ้องเล่นงานในภูมิภาคเอเชียตะวันออกเฉียงใต้นี้ ได้หันมาใช้ช่องโหว่บน Microsoft Exchange Server ที่มีการเปิดเผยรายละเอียดเมื่อเดือนมีนาคมที่ผ่านมา ด้วยการติดตั้งโทรจันสำหรับเข้าถึงจากระยะไกล (RAT) สายพันธุ์ที่ไม่เคยพบมาก่อน
โดยทางทีมวิจัยด้านอันตรายไซเบอร์ Unit 42 ประจำ Palo Alto Networks ระบุว่ากลุ่มผู้โจมตีครั้งนี้ชื่อ PKPLUG (หรือรู้จักกันในชื่อ Mustang Panda และ HoneyMyte) ใช้มัลแวร์แบบโมดูลชื่อ PlugX เวอร์ชั่นใหม่ที่ถูกเรียกอีกชื่อว่า Thor สำหรับเป็นตัวกลางโหลดทูลอันตรายเข้าเซิร์ฟเวอร์ที่เจาะได้อีกทอดหนึ่ง
ย้อนกลับไปช่วงปี 2008 นั้น มัลแวร์ PlugX ได้มีการพัฒนาฟีเจอร์มากมายไม่ว่าจะเป็นการอัพโหลด ดาวน์โหลด หรือแก้ไขไฟล์ ไปจนถึงการบันทึกการกดแป้นคีย์บอร์ด ควบคุมกล้องเว็บแคม และเข้าถึงคอมมานด์เชลล์ได้จากระยะไกล พอมาเป็นรุ่นล่าสุดก็มีการแก้ไขที่ลึกระดับซอร์สโค้ดแกนกลาง
สำหรับตัวอย่างมัลแวร์รุ่นใหม่ “THOR” นี้ ตรวจพบตัวอย่างครั้งแรกเมื่อสิงหาคม 2019 ในฐานะโค้ดที่เปลี่ยนชื่อใหม่ให้ดูน่าตื่นเต้น มาพร้อมฟีเจอร์ใหม่อย่างกลไกการส่งต่อข้อมูลเปย์โหลดที่พัฒนามากขึ้น และการใช้ประโยชน์จากทรัสต์ไบนารีในการโจมตี จนเมื่อวันที่ 2 มีนาคมที่ไมโครซอฟท์ออกมาเผยถึงบั๊ก Zero-day บนเซิร์ฟเวอร์เอ็กซ์เชนจ์ที่โดนโจมตีนี้
ที่มา : THN