เมื่อภาคเทคโนโลยีคือสมรภูมิรบ: เจาะลึกรายงาน CrowdStrike 2026

องค์ประกอบพื้นฐานของการสร้าง AI ไม่ว่าจะเป็นโมเดล ข้อมูลที่ใช้ในการเทรน และขั้นตอนการวิจัย คือเป้าหมายหลักของการจารกรรมที่หนุนหลังโดยรัฐ กลุ่มผู้ไม่หวังดีที่เชื่อมโยงกับจีนโดยเฉพาะ เช่น MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA และ WARP PANDA ถูกตรวจพบว่าเล็งเป้าไปที่ภาคเทคโนโลยีมากกว่าอุตสาหกรรมอื่นใด รายงานระบุว่ากิจกรรมเหล่านี้เป็น "ความพยายามในการรวบรวมข่าวกรองระยะยาว" โดยมีการเจาะระบบซัพพลายเชนเป็นตัวสนับสนุน โดยมุ่งหวังที่จะบรรลุวัตถุประสงค์เชิงยุทธศาสตร์มากกว่าผลประโยชน์ทางการเงินในทันที

เกาหลีเหนือขยายปฏิบัติการการเข้าถึงที่ได้รับความไว้วางใจ

ผู้คุกคามที่เชื่อมโยงกับเกาหลีเหนือได้สร้างโปรไฟล์การปฏิบัติการที่โดดเด่นในการมุ่งเป้าไปที่บริษัทเทคโนโลยี แทนที่จะพึ่งพาวิธีการเจาะระบบแบบดั้งเดิมเพียงอย่างเดียว กลุ่มที่เชื่อมโยงกับ DPRK (เกาหลีเหนือ) ได้ขยายขอบเขตการเข้าถึงผ่าน การแทรกซึมของพนักงาน IT เข้าไปทำงานในตำแหน่งผู้รับเหมาระยะไกลในบริษัทเทคโนโลยีตะวันตก และโดยการทำลายซัพพลายเชนของซอฟต์แวร์เพื่อให้ได้การเข้าถึงที่ได้รับความไว้วางใจ

รายงานที่มุ่งเน้นด้านเทคโนโลยีนี้เน้นย้ำถึงปฏิบัติการการเข้าถึงที่ได้รับความไว้วางใจเหล่านี้ แต่รายงานอีกฉบับของ CrowdStrike ที่เผยแพร่คู่ขนานกันอย่าง CrowdStrike 2026 Financial Services Threat Landscape Report ได้ย้ำให้เห็นถึงแคมเปญที่กว้างขึ้นของเกาหลีเหนือ รายงานนั้นเผยว่า ผู้ไม่หวังดีที่เชื่อมโยงกับ DPRK ได้ขโมยทรัพย์สินดิจิทัลมูลค่าหลายพันล้านดอลลาร์สหรัฐในปี 2025 และได้ยกระดับอาชญากรรมไซเบอร์ให้เป็นระบบอุตสาหกรรมโดยใช้การหลอกลวงที่ขับเคลื่อนด้วย AI กลุ่ม FAMOUS CHOLLIMA ได้เพิ่มความถี่ในการปฏิบัติการเป็นสองเท่า ในขณะที่กลุ่ม PRESSURE CHOLLIMA ได้ทำการขโมยทรัพย์สินทางการเงินครั้งใหญ่ที่สุดเท่าที่เคยมีรายงานมา คิดเป็นเงินคริปโตเคอเรนซี่มูลค่า 1.46 พันล้านดอลลาร์สหรัฐ ผ่านการเจาะระบบซัพพลายเชนที่เกี่ยวข้องกับซอฟต์แวร์ที่ถูกฝังโทรจัน (Trojan)

อาชญากรรมไซเบอร์เร่งความเร็ว: เวลาในการเจาะระบบจากจุดเริ่มต้นลดลงเหลือ 29 นาที

อาชญากรไซเบอร์ที่มุ่งหวังผลประโยชน์ทางการเงินได้ยกระดับปฏิบัติการต่อองค์กรเทคโนโลยี โดยมีกลุ่มนายหน้าขายสิทธิ์การเข้าถึง (Initial Access Brokers), ผู้ปฏิบัติการ Ransomware และกลุ่มรีดไถข้อมูล ให้ความสำคัญกับภาคส่วนนี้ รายงาน CrowdStrike 2026 Global Threat Report ที่เผยแพร่ประกอบกันบันทึกว่า เวลาในการเจาะระบบของอาชญากรรมไซเบอร์ (Breakout Time) โดยเฉลี่ย ซึ่งวัดจากช่วงเวลาระหว่างการเข้าถึงครั้งแรกจนถึงการเคลื่อนที่ภายในระบบเครือข่าย (Lateral Movement) ลดลงเหลือเพียง 29 นาที ในปี 2025 ซึ่งเร็วกว่าปี 2024 ถึง 65% การบุกรุกที่เร็วที่สุดที่ตรวจพบใช้เวลาเพียง 27 วินาทีในการเคลื่อนที่จากจุดเริ่มต้นไปถึงขั้นตอนการขโมยข้อมูล

การเจาะระบบแบบโต้ตอบที่นำโดยมนุษย์ (Hands-on-keyboard attacks) เพิ่มขึ้นถึง 43% ในช่วงสองปีที่ผ่านมา ทำให้ผู้ไม่หวังดีมีความยืดหยุ่นในการปฏิบัติการที่จะเปลี่ยนจากการเจาะระบบครั้งแรกไปสู่การขโมย รีดไถ หรือรวบรวมข่าวกรอง ขึ้นอยู่กับมูลค่าของเป้าหมาย การเปลี่ยนแปลงนี้ไปสู่แคมเปญที่ดำเนินการโดยมนุษย์ หมายความว่าผู้ประสงค์ร้ายสามารถกลมกลืนไปกับพฤติกรรมการดูแลระบบตามปกติ ทำให้การตรวจจับยากขึ้นอย่างมาก

ปัญหาซัพพลายเชนและการใช้ประโยชน์จากความไว้วางใจ

แทนที่จะพึ่งพามัลแวร์แบบดั้งเดิม ผู้ไม่หวังดีใช้ประโยชน์จากความสัมพันธ์ที่ได้รับความไว้วางใจ ข้อมูลประจำตัวที่ถูกต้อง (Valid Credentials) การเชื่อมต่อกับ SaaS (Software as a Service) และซอฟต์แวร์ซัพพลายเชนมากขึ้นเรื่อยๆ รายงานระบุว่า 82% ของการตรวจจับทั้งหมดในปี 2025 ไม่เกี่ยวข้องกับมัลแวร์ เนื่องจากผู้โจมตีใช้กลยุทธ์ "ดำรงชีพด้วยสิ่งที่มี" (Living off the land) โดยใช้เครื่องมือที่ถูกต้องตามกฎหมายและวิศวกรรมสังคมที่เสริมประสิทธิภาพด้วย AI เพื่อหลบเลี่ยงการป้องกันที่ใช้ลายเซ็นเป็นหลัก

แพลตฟอร์ม AI และเครื่องมือสำหรับนักพัฒนากำลังถูกโจมตีโดยตรง โดยผู้ไม่หวังดีเจาะระบบที่เก็บข้อมูลที่ได้รับความไว้วางใจ, กระบวนการ CI/CD Pipeline (Continuous Integration/Continuous Delivery) และ Workflow เพื่อให้เข้าถึงเป้าหมายปลายทางได้อย่างต่อเนื่อง แนวทางแบบซัพพลายเชนนี้หมายความว่าเครื่องมือพัฒนาซอฟต์แวร์ที่ถูกเจาะระบบเพียงตัวเดียว สามารถส่งผลกระทบต่อเนื่องไปยังองค์กรหลายสิบหรือหลายร้อยแห่งได้ โดยไม่ต้องเจาะระบบเป้าหมายแต่ละรายโดยตรง

พื้นผิวการโจมตีของ AI ขยายตัวอย่างไร้ขีดจำกัด

ปัญญาประดิษฐ์ (AI) กลายเป็นภัยคุกคามสองทางในระหว่างช่วงเวลาที่รายงานนี้ครอบคลุม กิจกรรมของศัตรูที่ใช้ AI เพิ่มขึ้น 89% เมื่อเทียบเป็นรายปี ซึ่งเร่งปฏิบัติการฟิชชิง การสอดแนม วิศวกรรมสังคม และการปฏิบัติการทางเทคนิคให้เร็วขึ้น ผู้โจมตีใช้เครื่องมือ Generative AI ที่เปิดให้ใช้แบบสาธารณะ เช่น ChatGPT, Gemini และ DeepSeek เพื่อวิศวกรรมสังคม การพัฒนามัลแวร์ และการวางแผนปฏิบัติการ

ในเวลาเดียวกัน ระบบ AI เองก็กลายเป็นพื้นผิวการโจมตีใหม่ มีองค์กรมากกว่า 90 แห่งที่เครื่องมือ AI ที่ถูกต้องตามกฎหมายถูกใช้ประโยชน์เพื่อสร้างคำสั่งที่เป็นอันตรายหรือขโมยโมเดลอันละเอียดอ่อน รายงานระบุว่าผู้ไม่หวังดีได้แทรกคำสั่งที่เป็นอันตราย (Prompt Injection) เข้าไปในเครื่องมือ Generative AI ที่ใช้งานจริง และใช้แพลตฟอร์มการพัฒนา AI ในทางที่ผิดเพื่อขโมยทรัพย์สินทางปัญญา

รายงานระบุว่าปี 2025 คือ "ปีแห่งศัตรูผู้เชี่ยวชาญการหลบหลีก" ซึ่งถูกนิยามด้วยการโจมตีที่เล็งเป้าไปที่ความสัมพันธ์อันน่าเชื่อถือ, แสดงให้เห็นถึงความคล่องแคล่วในการใช้เครื่องมือ AI และผสมผสานฝีมือทางการค้าที่ถูกปรับแต่งมาเพื่อใช้ประโยชน์จากจุดบอดด้านความปลอดภัยในสภาพแวดล้อมของ Endpoint, Identity, SaaS และ Cloud

รายงานของ CrowdStrike แสดงให้เห็นอย่างชัดเจนว่าบริษัทเทคโนโลยีไม่สามารถป้องกันตนเองจากการบรรจบกันของภัยคุกคามนี้ได้ด้วยแนวทางแบบเดิมๆ อีกต่อไป เมื่อผู้ไม่หวังดีสามารถเคลื่อนที่จากการเจาะระบบครั้งแรกไปสู่การขยายผลในวงกว้างภายในเครือข่ายได้ในเวลาน้อยกว่า 30 นาที และเมื่อการโจมตีส่วนใหญ่ไม่มีลายเซ็นของมัลแวร์ กลยุทธ์การตรวจจับที่สร้างขึ้นจากตัวชี้วัดที่รู้ว่าไม่ดีนั้นไม่เพียงพออย่างถึงรากถึงโคน ภาคส่วนที่สร้างเทคโนโลยีที่ก้าวหน้าที่สุดของโลกได้กลายเป็นดินแดนดิจิทัลที่มีการช่วงชิงมากที่สุดในโลก