OceanLotus mit SPECTRALVIPER gegen vietnamesische Infrastruktur und Investoren

Forschende von ESET haben der Gruppierung OceanLotus (APT32) zwei Kampagnen der Jahre 2024–2026 zugeschrieben, die sich gegen vietnamesische Ziele im Inland richteten – ein Infrastruktur-Bauunternehmen und Aktieninvestoren. Beide Operationen nutzten die Backdoor SPECTRALVIPER, und eine davon war ein Supply-Chain-Angriff über die populäre Investmentplattform FireAnt Metakit. Nach Einschätzung von ESET deuten diese Kampagnen auf eine mögliche strategische Neuausrichtung der Gruppe von externer auf interne Spionage hin – ein Trend, der die Aufmerksamkeit von Organisationen in Vietnam und der Region Südostasien erfordert.

Profil der Gruppe und strategischer Kontext

OceanLotus ist eine APT-Gruppierung, die mit Vietnam in Verbindung gebracht wird und nach Angaben von Forschenden seit 2012 aktiv ist. Historisch hat sich die Gruppe auf externe Cyberspionage spezialisiert und unter anderem nachweislich Ziele in China angegriffen. In den Jahren 2017–2018 führte OceanLotus watering-hole-Angriffe durch, um Besucher von Websites zu profilieren, die mit Medien, Menschenrechtsorganisationen und der Zivilgesellschaft verbunden waren. Einzelne Kampagnen richteten sich gegen vietnamesische Menschenrechtsverteidiger und Dissidenten.

Nach der öffentlichen Enttarnung eines mutmaßlichen Bezugs der Gruppierung zu einem vietnamesischen IT-Unternehmen im Dezember 2020 tauchte OceanLotus laut ESET für fast drei Jahre unter. Die Rückkehr der Gruppe wurde 2023 registriert, als Elastic Security Labs SPECTRALVIPER in einer Kampagne gegen vietnamesische börsennotierte Unternehmen dokumentierte. Zum Arsenal der Gruppierung gehören außerdem die Werkzeuge SOUNDBITE (Denis), PHOREAL (Rizzo) und WINDSHIELD (Remy).

Der zentrale analytische Befund von ESET: Die entdeckten Kampagnen belegen eine Schwerpunktverlagerung von OceanLotus von ausländischen auf inländische vietnamesische Ziele. Es ist unklar, ob es sich dabei um eine temporäre Anpassung oder eine langfristige strategische Änderung handelt.

Supply-Chain-Angriff auf FireAnt Metakit

Die erste Kampagne war ein Supply-Chain-Angriff über FireAnt Metakit, eine populäre Softwareplattform für Aktieninvestoren in Vietnam. Nach Angaben von ESET begann der Angriff vermutlich um den 2. Oktober 2025 und dauerte bis März 2026 an.

Die Angreifer nutzten den legitimen Update-Mechanismus der Plattform, um SPECTRALVIPER an eine begrenzte Zahl von Investoren auszuliefern, was auf eine selektive Auswahl der Opfer hindeutet. Die kritische Schwachstelle bestand im Fehlen eines Integritätsprüfmechanismus: Die Konfigurationsdatei für Updates unter der Adresse metakit.fireant[.]vn/Software/version.xml enthielt keine Signaturvalidierung für die heruntergeladene Binärdatei setup.exe.

Die Infektionskette sah wie folgt aus:

1. Die Anwendung Metakit.exe lud aufgrund der fehlenden Signaturprüfung einen bösartigen Loader als legitimes Update herunter.
2. Der Loader führte eine grundlegende Hostaufklärung durch und übermittelte die gesammelten Daten per HTTP POST an einen Zwischenserver, um die Nutzlast der nächsten Stufe anzufordern.
3. Die Nutzlast nutzte die Technik des DLL side-loading: Eine legitime Binärdatei lud die bösartige Bibliothek DtlCrashCatch.dll.
4. Die bösartige DLL injizierte sich in den Prozess OneDrive.Sync.Service.exe und startete SPECTRALVIPER.
5. Die Backdoor stellte eine Verbindung zum C2-Server financemachinelearning[.]com her und übermittelte verschlüsselte Hostinformationen.

ESET berichtet, dass nach dem 9. März 2026 keine Verteilung bösartiger Updates über den kompromittierten Kanal mehr beobachtet wurde, was darauf hindeuten könnte, dass die Betreiber die Kampagne beendet haben.

Langfristige Kompromittierung eines Baukonzerns

Die zweite Kampagne richtete sich gegen einen nicht namentlich genannten vietnamesischen Konzern im Bereich Infrastruktur- und Verkehrsbau. Nach Angaben der Forschenden wurde ein verdeckter Zugang zum Netzwerk der Organisation von November 2024 bis Februar 2026 – also über mehr als 15 Monate – aufrechterhalten.

Der genaue Vektor für den Erstzugang ist nicht bekannt, ESET vermutet jedoch die Ausnutzung von Schwachstellen für Remote Code Execution in einem öffentlich zugänglichen Microsoft-SQL-Server. Anschließend setzten die Angreifer SPECTRALVIPER per DLL side-loading ein. Auf mehreren kompromittierten Hosts desselben Netzwerks wurden drei verschiedene Varianten der Backdoor entdeckt, was auf eine aktive Weiterentwicklung des Werkzeugs hindeutet.

In dieser Kampagne kommunizierte SPECTRALVIPER mit dem C2-Server gatewayrvcenter[.]com, um Profiling-Daten der Hosts zu übertragen und Anweisungen zu empfangen. Die Backdoor ermöglichte außerdem laterale Bewegungen im Netzwerk und fungierte als Loader, indem sie zusätzliche Binärdateien oder Shell-Code aus dem C2 in Zielprozesse injizierte.

Indikatoren einer Kompromittierung

• C2-Domains:financemachinelearning[.]com, gatewayrvcenter[.]com
• Kompromittierte Update-
• Bösartige Dateien:DtlCrashCatch.dll, setup.exe
• Missbrauch legitimer Prozesse:OneDrive.Sync.Service.exe, Metakit.exe

Auswirkungsanalyse und betroffene Sektoren

Am stärksten gefährdet sind zwei Kategorien: vietnamesische Organisationen der kritischen Infrastruktur (Transport, Bau) und Nutzer der Investmentsoftware FireAnt Metakit. Der Supply-Chain-Angriff ist besonders gefährlich, da er das Vertrauen der Nutzer in einen legitimen Update-Mechanismus ausnutzt. Die langfristige Kompromittierung des Baukonzerns (über ein Jahr) zeigt die Fähigkeit der Gruppierung zu einem nachhaltigen Verbleib im Netzwerk, was das Risiko eines Abflusses vertraulicher Informationen zu großen Infrastrukturprojekten erhöht.

Wichtig sind die Grenzen der vorliegenden Daten: Attribution und Bewertung der strategischen Neuausrichtung von OceanLotus stützen sich überwiegend auf die Analyse eines einzigen Anbieters (ESET). Eine unabhängige Bestätigung durch andere Forschungsgruppen liegt bislang nicht vor.

Praktische Empfehlungen

• Nutzende von FireAnt Metakit: Systeme auf die genannten IOC prüfen, insbesondere auf die Datei DtlCrashCatch.dll und Netzwerkverbindungen zu financemachinelearning[.]com. Kontakt mit dem Plattformentwickler aufnehmen, um Informationen zu Schutzmaßnahmen für den Update-Mechanismus zu erhalten.
• Organisationen mit öffentlich zugänglichen Microsoft-SQL-Servern: Eine Konfigurationsprüfung durchführen, sicherstellen, dass aktuelle Patches eingespielt sind, und den Zugriff aus dem Internet einschränken.
• Netzwerk-Monitoring: Erkennung von DLL side-loading einrichten – insbesondere die Ladevorgänge untypischer DLLs durch legitime Prozesse überwachen sowie Injektionen in OneDrive.Sync.Service.exe.
• Softwareentwickler: Kryptografische Signaturprüfungen für Updates implementieren. Das Fehlen einer Integritätsvalidierung in FireAnt Metakit war ein Schlüsselfaktor für den Erfolg des Angriffs.
• Überprüfung des Netzwerkverkehrs: Zugriffe auf die Domains financemachinelearning[.]com und gatewayrvcenter[.]com blockieren oder überwachen.

Die aufgedeckten Kampagnen von OceanLotus verdeutlichen zwei taktische Prioritäten der Gruppierung: die Ausnutzung des Vertrauens in Software-Supply-Chains und ein langfristiges verdecktes Präsenzhalten in Netzwerken großer Organisationen. Organisationen in Vietnam, insbesondere in den Sektoren kritische Infrastruktur und Finanzwesen, sollten ihre Systeme umgehend auf die genannten Indikatoren einer Kompromittierung prüfen und die Integritätskontrollen für Update-Mechanismen der eingesetzten Software verstärken.