กลุ่มภัยคุกคามที่ยังไม่เป็นที่รู้จักถูกพบว่าใช้ตัวแทนโมเดลภาษาขนาดใหญ่ (LLM Agent) ในการดำเนินกิจกรรมหลังเจาะระบบสำเร็จ (Post-Exploitation) หลังจากได้รับสิทธิ์การเข้าถึงเบื้องต้นผ่านการล่วงล้ำเครือข่าย Marimo ที่เปิดเผยต่อสาธารณะ โดยผู้โจมตีใช้ช่องโหว่ CVE-2026-39987 ที่เพิ่งถูกเปิดเผยรายละเอียดในการบุกรุกเข้าสู่ระบบ

การใช้ LLM Agent ในขั้นตอนนี้ถือเป็นจุดเด่นที่แสดงให้เห็นถึงวิวัฒนาการของเทคนิคการโจมตีทางไซเบอร์ ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถทำงานได้อย่างอัตโนมัติและซับซ้อนมากขึ้นหลังจากทะลุเข้าสู่เป้าหมายแล้ว จากรายงานระบุว่า ภัยคุกคามดังกล่าวสามารถดึงข้อมูลรับรองความถูกต้องของคลาวด์ (Cloud Credentials) จำนวน 2 ชุดออกมาจากระบบที่ถูกบุกรุกได้ทันที

เหตุการณ์ครั้งนี้สะท้อนให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นเมื่อแพลตฟอร์มที่เชื่อมต่อกับอินเทอร์เน็ตมีช่องโหว่ร้ายแรง และเป็นการเตือนถึงอันตรายจากการนำพลังของปัญญาประดิษฐ์ (AI) มาใช้ในทางที่ผิดเพื่อขยายวงจรของการโจมตี ผู้ดูแลระบบจึงควรเร่งปรับปรุงระบบความปลอดภัยและติดตามพัฒนาการของช่องโหว่ให้ทันก่อนที่ผู้โจมตีจะนำไปใช้ประโยชน์

คำศัพท์เทคนิคที่น่าสนใจ

• LLM Agent (Large Language Model Agent) – ระบบหรือซอฟต์แวร์ที่ใช้โมเดลภาษาขนาดใหญ่เป็นสมองในการตัดสินใจและดำเนินการต่างๆ โดยอัตโนมัติ
• Post-Exploitation – ขั้นตอนหลังการล่วงล้ำระบบ ซึ่งเป็นช่วงที่ผู้โจมตีพยายามรักษาสิทธิ์การเข้าถึง รวบรวมข้อมูล หรือเคลื่อนย้ายไปยังระบบอื่นภายในเครือข่าย
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุช่องโหว่ด้านความปลอดภัยที่ถูกค้นพบอย่างเป็นสาธารณะ
• Cloud Credentials – ข้อมูลรับรองความถูกต้อง เช่น รหัสผ่าน, กุญแจ API หรือ Token ที่ใช้ในการยืนยันตัวตนเพื่อเข้าถึงบริการคลาวด์

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/attackers-use-llm-agent-for-post.html