REMUS Infostealer กำลังกลายเป็นภัยไซเบอร์แบบ Malware‑as‑a‑Service ที่ขโมย “ตัวตนดิจิทัล” ได้ทั้งระบบ

หลักฐานจากฟอรัมใต้ดินแสดงให้เห็นว่า REMUS ถูกพัฒนาเป็น บริการมัลแวร์เชิงพาณิชย์ ที่เปิดให้กลุ่มโจมตีหลายกลุ่มนำไปใช้ในแคมเปญของตัวเอง

นักวิจัยวิเคราะห์โพสต์ในฟอรัมที่เกี่ยวข้องกับระบบนี้มากกว่า 100 โพสต์ในช่วงต้นปี 2026 ซึ่งแสดงถึงโครงสร้างการให้บริการที่ชัดเจน

โมเดลนี้ทำให้มัลแวร์แพร่กระจายได้เร็วมาก เพราะผู้โจมตีไม่จำเป็นต้องพัฒนามัลแวร์เอง เพียงแค่เช่าหรือซื้อบริการก็สามารถเริ่มแคมเปญขโมยข้อมูลได้ทันที

เริ่มโจมตี Password Manager โดยตรง

หนึ่งในความสามารถใหม่ที่น่ากังวลที่สุดของ REMUS คือการพุ่งเป้าไปที่ ส่วนขยายของ password manager บนเบราว์เซอร์

รายงานระบุว่ามัลแวร์สามารถเก็บข้อมูลจากส่วนขยายของบริการ เช่น

• 1Password
• LastPass
• Bitwarden

ข้อมูลเหล่านี้ถูกดึงจากพื้นที่จัดเก็บของเบราว์เซอร์ เช่น IndexedDB ซึ่งส่วนขยายใช้เก็บข้อมูล vault แบบเข้ารหัสหรือข้อมูลการทำงานอื่น ๆ

แม้ว่าระบบเข้ารหัสของ password manager ส่วนใหญ่ยังคงช่วยปกป้องข้อมูลสำคัญ แต่ผู้โจมตีอาจได้ข้อมูลเมตา session หรือ artifact ต่าง ๆ ที่ช่วยเพิ่มโอกาสในการเข้าถึงบัญชีได้

นักวิจัยด้านความปลอดภัยชี้ว่า password manager เป็นเป้าหมายที่มีมูลค่าสูง เพราะมักเก็บข้อมูลล็อกอินของ

• บริการ SaaS
• บัญชีผู้ดูแลระบบองค์กร
• VPN
• โครงสร้างพื้นฐานของนักพัฒนา
• บัญชีส่วนตัว

ดังนั้นการติดมัลแวร์ในเครื่องเพียงเครื่องเดียวอาจทำให้ผู้โจมตีเข้าถึงตัวตนดิจิทัลจำนวนมากพร้อมกัน

การขโมย Session และ Token ที่หลบ MFA ได้

อีกความสามารถสำคัญของ REMUS คือการเน้น ขโมย session และ authentication token

แทนที่จะขโมยเพียงชื่อผู้ใช้และรหัสผ่าน มัลแวร์ยุคใหม่สามารถเก็บข้อมูลอย่างเช่น

• คุกกี้ของเบราว์เซอร์
• โทเคนยืนยันตัวตน
• session ที่กำลังล็อกอินอยู่

ข้อมูลเหล่านี้เป็นสถานะที่ผู้ใช้ล็อกอินสำเร็จแล้ว ทำให้ผู้โจมตีสามารถนำไปใช้เข้าระบบได้ โดยไม่ต้องผ่านขั้นตอนล็อกอินใหม่ และอาจหลบระบบ multi‑factor authentication (MFA) ได้ในบางกรณี

ผลลัพธ์คือช่วงเวลาระหว่างการติดมัลแวร์กับการเข้าถึงระบบองค์กรสามารถลดลงจากหลายวันเหลือเพียงไม่กี่นาทีหรือไม่กี่ชั่วโมง

โครงสร้างควบคุมผ่าน EtherHiding

REMUS ยังใช้เทคนิคโครงสร้างพื้นฐานใหม่ที่เรียกว่า EtherHiding

เทคนิคนี้เก็บข้อมูลการตั้งค่า command‑and‑control (C2) ไว้ใน smart contract บนเครือข่าย Ethereum แทนที่จะใช้โดเมนหรือเซิร์ฟเวอร์แบบเดิม

เนื่องจากข้อมูลบนบล็อกเชนมีลักษณะกระจายศูนย์และลบได้ยาก การใช้ EtherHiding จึงทำให้การปิดโครงสร้างของมัลแวร์ทำได้ยากขึ้น

เปรียบเทียบกับการพัฒนาของ Gremlin Stealer

REMUS ไม่ใช่ infostealer เพียงตัวเดียวที่พัฒนาอย่างรวดเร็ว

งานวิจัยเกี่ยวกับ Gremlin stealer พบว่าเวอร์ชันใหม่ของมัลแวร์นี้ได้พัฒนาไปในอีกทิศทางหนึ่ง

มัลแวร์ Gremlin รุ่นล่าสุดเพิ่มเทคนิคหลบการวิเคราะห์และกลายเป็น เครื่องมือมัลแวร์แบบโมดูลาร์ ที่สามารถเพิ่มฟังก์ชันผ่านโมดูลใหม่ได้

นักวิจัยจาก Unit 42 ระบุว่าเวอร์ชันใหม่ใช้เครื่องมือ packing ที่มีเทคนิค instruction virtualization ซึ่งแปลงโค้ดมัลแวร์ให้เป็น bytecode แบบเฉพาะที่รันบน virtual machine ภายใน เพื่อทำให้การ reverse engineering ยากขึ้น

สรุปความแตกต่างโดยรวมคือ

• REMUS เน้นการขโมยตัวตนดิจิทัลในวงกว้าง เช่น session hijacking การโจมตี password manager และการกระจายผ่าน MaaS
• Gremlin เน้นความสามารถในการซ่อนตัวและการขยายฟังก์ชันผ่านโมดูล พร้อมเทคนิคหลบการวิเคราะห์ขั้นสูง

ทั้งสองกรณีสะท้อนแนวโน้มเดียวกัน คือ infostealer กำลัง ซับซ้อนและตรวจจับยากขึ้นเรื่อย ๆ

แนวโน้มใหญ่: เป้าหมายคือ “ตัวตน” ไม่ใช่แค่รหัสผ่าน

การเกิดขึ้นของ REMUS แสดงให้เห็นถึงการเปลี่ยนแปลงสำคัญในยุทธศาสตร์ของผู้โจมตี

มัลแวร์รุ่นใหม่ไม่ได้พยายามขโมยเพียงรหัสผ่านอีกต่อไป แต่พยายามเก็บ สภาพแวดล้อมการยืนยันตัวตนทั้งหมด เช่น

• session
• token
• credential ที่จัดเก็บไว้
• artifact ของระบบ identity

ขนาดของปัญหานี้ใหญ่ขึ้นอย่างรวดเร็ว รายงานด้านความปลอดภัยระบุว่าแคมเปญ infostealer สามารถรวบรวม ข้อมูลล็อกอินประมาณ 1.8 พันล้านรายการในปี 2025 เพียงปีเดียว

ความหมายต่อความปลอดภัยขององค์กร

วิวัฒนาการของ REMUS สะท้อนประเด็นสำคัญสำหรับทีมรักษาความปลอดภัยไซเบอร์

• การติดมัลแวร์บนเครื่องปลายทางอาจนำไปสู่ การยึดตัวตนผู้ใช้ทันที
• MFA เพียงอย่างเดียวไม่เพียงพอ หาก session หรือ token ถูกขโมย
• password manager กลายเป็น เป้าหมายมูลค่าสูง ของผู้โจมตี

องค์กรจึงต้องใช้มาตรการเพิ่มเติม เช่น

• การยกเลิก session ที่น่าสงสัย
• ระบบตรวจสอบอุปกรณ์ (device trust)
• เครื่องมือ Endpoint Detection and Response (EDR)
• การตรวจจับพฤติกรรมล็อกอินที่ผิดปกติ

บทสรุป

REMUS เป็นตัวอย่างชัดเจนว่าระบบ infostealer กำลังพัฒนาอย่างรวดเร็ว จากมัลแวร์ขโมยรหัสผ่านทั่วไปไปสู่แพลตฟอร์ม Malware‑as‑a‑Service ที่มุ่งโจมตีตัวตนดิจิทัลและ session ของผู้ใช้

เมื่อรวมกับพัฒนาการของมัลแวร์อื่นอย่าง Gremlin แนวโน้มก็ชัดเจนมากขึ้นว่า ผู้โจมตีไม่ได้ต้องการแค่รหัสผ่านอีกต่อไป แต่ต้องการ การเข้าถึงระบบที่ล็อกอินอยู่แล้ว

สำหรับองค์กร นั่นหมายความว่าการละเมิดระบบอาจเกิดขึ้นได้เร็วกว่าเดิมมาก จากการติดมัลแวร์ในเครื่องเดียวไปสู่การยึดบัญชีจำนวนมากภายในเวลาเพียงไม่กี่ชั่วโมง