ในช่วงต้นเดือนกุมภาพันธ์ 2026 นักวิจัยด้านความปลอดภัยจาก Huntress Security ได้ตรวจพบการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังองค์กรอย่างน้อย 3 แห่ง โดยแฮกเกอร์ได้อาศัยช่องโหว่ร้ายแรงบนระบบ SolarWinds Web Help Desk (WHD) เป็นประตูทางเข้า การโจมตีนี้มีความน่าสนใจตรงที่ผู้โจมตีไม่ได้ใช้มัลแวร์ทั่วไป แต่เลือกใช้เครื่องมือที่ถูกกฎหมายอย่าง Zoho ManageEngine, Zoho Meetings และ Cloudflare Tunnels มาดัดแปลงเพื่อคงสถานะการเชื่อมต่อในเครื่องของเหยื่ออย่างแนบเนียน
หัวใจสำคัญของการบุกรุกครั้งนี้อยู่ที่การใช้ประโยชน์จากช่องโหว่รหัส CVE-2025-40551 และ CVE-2025-26399 ซึ่งทั้งคู่ถูกจัดอยู่ในระดับความรุนแรงสูงสุด (Critical) ช่องโหว่เหล่านี้เปิดโอกาสให้แฮกเกอร์สามารถรันรหัสคำสั่งจากระยะไกล (Remote Code Execution) ได้ทันทีโดยไม่ต้องผ่านการยืนยันตัวตนใดๆ ซึ่งทางหน่วยงาน CISA ของสหรัฐฯ ได้ประกาศยกระดับความสำคัญและแจ้งเตือนว่าช่องโหว่ดังกล่าวถูกนำมาใช้โจมตีจริงในวงกว้างแล้ว
นอกจากความพยายามในการยึดครองระบบ แฮกเกอร์ยังได้ติดตั้งเครื่องมือตอบโต้ภัยคุกคามที่ชื่อว่า Velociraptor เพื่อใช้เป็นช่องทางหลักในการสั่งการและควบคุม (Command and Control) ซึ่งเป็นการนำเครื่องมือด้านความปลอดภัยมาใช้ในทางที่ผิดเพื่อหลบเลี่ยงการตรวจจับ ข้อมูลจาก Huntress ระบุว่าแคมเปญการโจมตีนี้เริ่มมาตั้งแต่วันที่ 16 มกราคม 2026 และมีการปฏิบัติการที่รวดเร็วและเป็นระบบอย่างมาก
ในขณะเดียวกัน ทีมวิจัยจาก Microsoft Security ก็ได้สังเกตพบพฤติกรรมการบุกรุกแบบหลายขั้นตอน (Multi-stage Intrusion) ในระบบ SolarWinds WHD ที่เชื่อมต่อกับอินเทอร์เน็ตสาธารณะเช่นกัน แม้ว่าทาง Microsoft จะยังไม่ได้ยืนยันอย่างเป็นทางการว่าการโจมตีที่พบนั้นเกิดจากช่องโหว่สองตัวที่เป็นข่าวหรือไม่ แต่พฤติกรรมที่สอดคล้องกันนี้ก็เป็นสัญญาณเตือนให้ผู้ดูแลระบบต้องเฝ้าระวังอย่างใกล้ชิด
สำหรับผู้ใช้งาน SolarWinds Web Help Desk ผู้เชี่ยวชาญแนะนำให้รีบตรวจสอบการอัปเดตแพตช์ความปลอดภัยล่าสุดทันที เนื่องจากช่องโหว่ระดับ Critical ที่ไม่ต้องยืนยันตัวตนเช่นนี้ถือเป็นเป้าหมายอันดับต้นๆ ของกลุ่มผู้ไม่หวังดี หากปล่อยปละละเลยอาจนำไปสู่การรั่วไหลของข้อมูลสำคัญหรือการถูกยึดระบบทั้งหมดขององค์กรได้
