Microsoft ได้ออกประกาศเตือนเกี่ยวกับความเคลื่อนไหวของแคมเปญ Cryptojacking ซึ่งมีการนำระบบ AI Chatbot มาใช้เป็นกลไกในการชี้นำผู้ใช้งานไปยังเว็บไซต์ดาวน์โหลดมัลแวร์ที่เป็นอันตราย

ทีมผู้เชี่ยวชาญด้านการป้องกันของ Microsoft และทีมวิจัยความปลอดภัยของ Microsoft ระบุในรายงานที่เผยแพร่ว่า "เทคนิคการแพร่กระจายรูปแบบใหม่นี้เป็นการขยายขอบเขตของ Social Engineering ให้ไปไกลกว่าผลลัพธ์บนเครื่องมือค้นหาแบบเดิม และเพิ่มการแนะนำซอฟต์แวร์ที่เป็นอันตราย"

Microsoft ระบุว่า กิจกรรมดังกล่าวมีการแอบอ้างเป็นโปรแกรม utilities ของระบบที่ถูกต้อง เช่น CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack และ PDFgear ซึ่งน่าจะเป็นความพยายามในการมุ่งเป้าไปที่กลุ่มผู้ใช้งานที่เป็นเจ้าของ high-performance GPUs พร้อมทั้งระบุเสริมว่า แนวคิดดังกล่าวคือการมุ่งเน้นไปที่การโจมตีระบบที่มีมูลค่าในการ mining มากกว่าการแพร่กระจายไปยังเครื่องคอมพิวเตอร์จำนวนมากโดยไม่เลือกเป้าหมาย

เป้าหมายของแคมเปญดังกล่าวไม่ได้เกิดจากแรงจูงใจทางการเงินเพียงอย่างเดียว เนื่องจากตรวจพบว่าผู้โจมตีได้สร้างช่องทาง remote access แบบถาวรไปยังเครื่องโฮสต์ที่ตกเป็นเหยื่อ ผ่านการติดตั้งใช้งานโปรแกรม ScreenConnect ซึ่งสามารถนำไปใช้ประโยชน์สำหรับปฏิบัติการในขั้นถัดไปได้ เช่น การโจรกรรมข้อมูล, การโจมตีต่อไปภายในเครือข่าย หรือการเรียกค่าไถ่

Attack chain นี้มีความจงใจ และคิดมาเป็นอย่างดีมากกว่าความพยายามในการขุด cryptocurrency ทั่วไป โดยเลือกมุ่งเป้าไปที่อุปกรณ์อย่างมีแบบแผน เพื่อเพิ่มผลผลิตการขุดของ GPU ให้ได้สูงสุดต่อหนึ่งอุปกรณ์ที่ถูกโจมตี ทั้งนี้ Microsoft ระบุว่า ได้ตรวจพบ และสกัดกั้นกิจกรรมที่เกี่ยวข้องกับแคมเปญดังกล่าวเป็นที่เรียบร้อยแล้ว

กระบวนการทั้งหมดเริ่มต้นขึ้นเมื่อผู้ใช้งานค้นหาโปรแกรม utilities ของระบบ และซอฟต์แวร์ตรวจสอบฮาร์ดแวร์ที่น่าเชื่อถือบนเครื่องมือค้นหา ซึ่งจะแสดงผลเว็บไซต์อันตรายที่ถูกแทรกแซงผ่านเทคนิคต่าง ๆ เช่น SEO poisoning อย่างไรก็ตาม รูปแบบการโจมตีที่ตรวจพบในเวลาต่อมาเมื่อเดือนเมษายน 2026 แสดงให้เห็นว่า ผู้ใช้งานกำลังถูกนำไปยังเว็บไซต์เหล่านี้ โดยไม่ได้ผ่านผลลัพธ์จากเครื่องมือค้นหาอีกต่อไป แต่เป็นการชี้นำผ่านระบบโต้ตอบของโมเดล LLM

ในกรณีนี้ ผู้ใช้งานที่สอบถาม AI ChatBot เพื่อขอคำแนะนำในการดาวน์โหลดซอฟต์แวร์ จะได้รับลิงก์ที่เชื่อมโยงไปยังโดเมนที่ผู้โจมตีควบคุมอยู่ภายในคำตอบที่ระบบสร้างขึ้น แม้ว่าพฤติกรรมนี้จะอ้างอิงจากรูปแบบที่ตรวจพบ และแหล่งข้อมูลที่มีความเชื่อมโยงกัน แต่ก็สอดคล้องกับเทคนิคใหม่ที่กำลังเกิดขึ้นใน AI search result poisoning ซึ่งถือเป็นการขยายขอบเขตให้ผลลัพธ์การค้นหา SEO poisoning ไปไกลกว่าเครื่องมือค้นหาทั่วไป

เว็บไซต์เหล่านี้แต่ละแห่งจะมีปุ่มดาวน์โหลดที่เห็นได้อย่างชัดเจน ซึ่งจะทำการดึงไฟล์ ZIP มาจาก Subdomain ของแคมเปญภายใต้ชื่อ gleeze[.]com โดยโดเมนดังกล่าวถูกจัดเก็บอยู่บน infrastructure ที่เกี่ยวข้องกับ Dynu ซึ่งเป็นผู้ให้บริการ Dynamic DNS ที่กลุ่มแฮ็กเกอร์มักนิยมใช้ ทั้งนี้ มีการตรวจพบโดเมนอันตรายมากกว่า 150 โดเมนที่ทำหน้าที่แพร่กระจายเครื่องมือที่เป็นอันตรายเหล่านี้

ไฟล์ ZIP ที่ดาวน์โหลดมานั้นประกอบด้วยไฟล์ executable ที่ถูกต้องตามปกติ พร้อมกับไฟล์ DLL ที่เป็นอันตราย ("autorun.