Кампанії OceanLotus проти внутрішніх цілей у Вʼєтнамі: SPECTRALVIPER і FireAnt

Дослідники ESET атрибутували угрупованню OceanLotus (APT32) дві кампанії 2024–2026 років, спрямовані проти внутрішніх вʼєтнамських цілей — інфраструктурної будівельної корпорації та фондових інвесторів. Обидві операції використовували бекдор SPECTRALVIPER, а одна з них була атакою на ланцюг постачання через популярну інвестиційну платформу FireAnt Metakit. За оцінкою ESET, ці кампанії свідчать про можливий стратегічний розворот угруповання від зовнішнього шпигунства до внутрішнього — тренд, який потребує уваги від організацій у Вʼєтнамі та регіоні Південно-Східної Азії.

Профіль угруповання та стратегічний контекст

OceanLotus — APT-угруповання, яке повʼязують із Вʼєтнамом і яке, за даними дослідників, активно діє з 2012 року. Історично група спеціалізувалася на зовнішньому кібершпигунстві, зокрема має задокументовану історію атак на Китай. У 2017–2018 роках OceanLotus проводила атаки типу watering hole для профілювання відвідувачів сайтів, повʼязаних із медіа, правозахисними організаціями та громадянським суспільством. Окремі кампанії були спрямовані проти вʼєтнамських правозахисників і дисидентів.

Після публічного викриття ймовірного звʼязку угруповання з вʼєтнамською IT-компанією в грудні 2020 року OceanLotus, за даними ESET, фактично зникла з публічного поля майже на три роки. Повернення групи було зафіксовано 2023 року, коли Elastic Security Labs задокументувала SPECTRALVIPER у кампанії проти вʼєтнамських публічних компаній. До арсеналу угруповання також входять інструменти SOUNDBITE (Denis), PHOREAL (Rizzo) і WINDSHIELD (Remy).

Ключовий аналітичний висновок ESET: виявлені кампанії свідчать про зміщення фокусу OceanLotus із зовнішніх на внутрішні вʼєтнамські цілі. Залишається незрозумілим, чи є це тимчасовим коригуванням, чи довгостроковою стратегічною зміною.

Атака на ланцюг постачання FireAnt Metakit

Перша кампанія — атака на ланцюг постачання через FireAnt Metakit, популярну програмну платформу для фондових інвесторів у Вʼєтнамі. За даними ESET, атака ймовірно розпочалася приблизно 2 жовтня 2025 року і тривала до березня 2026 року.

Зловмисники використали легітимний механізм оновлення платформи для доставки SPECTRALVIPER обмеженій кількості інвесторів, що вказує на вибірковий підхід до відбору жертв. Критична вразливість полягала у відсутності механізму перевірки цілісності: конфігураційний файл оновлень за адресою metakit.fireant[.]vn/Software/version.xml не містив валідації підпису завантажуваного бінарного файла setup.exe.

Ланцюжок зараження виглядав так:

1. Додаток Metakit.exe завантажував шкідливий завантажувач як легітимне оновлення через відсутність перевірки підпису.
2. Завантажувач проводив базову розвідку хоста та передавав зібрані дані через HTTP POST на проміжний сервер, запитуючи корисне навантаження наступного етапу.
3. Корисне навантаження використовувало техніку DLL side-loading: легітимний бінарний файл завантажував шкідливу бібліотеку DtlCrashCatch.dll.
4. Шкідлива DLL впроваджувалася в процес OneDrive.Sync.Service.exe, запускаючи SPECTRALVIPER.
5. Бекдор встановлював звʼязок із C2-сервером financemachinelearning[.]com і передавав зашифровану інформацію про хост.

ESET повідомляє, що після 9 березня 2026 року розповсюдження шкідливих оновлень через скомпрометований канал не спостерігалося, що може свідчити про завершення кампанії операторами.

Тривала компрометація будівельної корпорації

Друга кампанія була спрямована проти неназваної вʼєтнамської корпорації у сфері інфраструктурного й транспортного будівництва. За даними дослідників, прихований доступ до мережі організації підтримувався з листопада 2024 року по лютий 2026 року — понад 15 місяців.

Точний вектор початкового доступу не встановлено, однак ESET припускає експлуатацію вразливостей віддаленого виконання коду в публічно доступному сервері Microsoft SQL. Далі зловмисники розгорнули SPECTRALVIPER через DLL side-loading. На кількох скомпрометованих хостах в одній мережі було виявлено три різні варіанти бекдора, що свідчить про активний розвиток інструментарію.

У цій кампанії SPECTRALVIPER зʼєднувався з C2-сервером gatewayrvcenter[.]com для передавання даних профілювання хостів і отримання інструкцій. Бекдор також забезпечував латеральне переміщення мережею та функціонував як завантажувач, впроваджуючи додаткові бінарні файли або shell‑code із C2 у цільові процеси.

Індикатори компрометації

• Домени C2:financemachinelearning[.]com, gatewayrvcenter[.]com
• Скомпрометований URL оновлень:metakit.fireant[.]vn/Software/version.xml
• Шкідливі файли:DtlCrashCatch.dll, setup.exe
• Зловживання легітимними процесами:OneDrive.Sync.Service.exe, Metakit.exe

Оцінка впливу та уражені сектори

Найбільшому ризику піддаються дві категорії: вʼєтнамські організації критичної інфраструктури (транспорт, будівництво) та користувачі інвестиційного програмного забезпечення FireAnt Metakit. Атака на ланцюг постачання особливо небезпечна, оскільки експлуатує довіру користувачів до легітимного механізму оновлення. Тривала компрометація будівельної корпорації (понад рік) демонструє здатність угруповання до стійкої присутності в мережі, що створює ризики витоку конфіденційних даних про великі інфраструктурні проєкти.

Варто враховувати обмеження наявних даних: атрибуція та оцінка стратегічного розвороту OceanLotus ґрунтуються переважно на дослідженні одного вендора (ESET). Незалежне підтвердження від інших дослідницьких груп наразі відсутнє.

Практичні рекомендації

• Користувачам FireAnt Metakit: перевірити системи на наявність зазначених IOC, зокрема файла DtlCrashCatch.dll і мережевих зʼєднань із financemachinelearning[.]com. Звʼязатися з розробником платформи для отримання інформації щодо заходів із захисту механізму оновлення.
• Організаціям із публічно доступними серверами Microsoft SQL: провести аудит конфігурації, переконатися в застосуванні актуальних патчів та обмежити доступ з інтернету.
• Мережевий моніторинг: налаштувати виявлення DLL side-loading — зокрема відстежувати завантаження нетипових DLL легітимними процесами, а також інʼєкції в OneDrive.Sync.Service.exe.
• Розробникам ПЗ: запровадити криптографічну перевірку підпису оновлень. Відсутність перевірки цілісності в FireAnt Metakit стала ключовим чинником успішності атаки.
• Перевірка мережевого трафіку: заблокувати або відстежувати звернення до доменів financemachinelearning[.]com і gatewayrvcenter[.]com.

Виявлені кампанії OceanLotus демонструють два тактичні пріоритети угруповання: експлуатацію довіри до ланцюгів постачання ПЗ та довгострокову приховану присутність у мережах великих організацій. Організаціям у Вʼєтнамі, особливо в секторах критичної інфраструктури та фінансів, слід негайно перевірити свої системи на зазначені індикатори компрометації та посилити контроль цілісності механізмів оновлення використовуваного програмного забезпечення.