APT-группа OceanLotus переключилась на внутренний шпионаж во Вьетнаме через бэкдор SPECTRALVIPER

Исследователи ESET атрибутировали группировке OceanLotus (APT32) две кампании 2024–2026 годов, направленные против внутренних вьетнамских целей — инфраструктурной строительной корпорации и фондовых инвесторов. Обе операции использовали бэкдор SPECTRALVIPER, а одна из них представляла собой атаку на цепочку поставок через популярную инвестиционную платформу FireAnt Metakit. По оценке ESET, эти кампании сигнализируют о возможном стратегическом развороте группировки от внешнего шпионажа к внутреннему — тренд, требующий внимания от организаций во Вьетнаме и регионе Юго-Восточной Азии.

Профиль группировки и стратегический контекст

OceanLotus — APT-группировка, связываемая с Вьетнамом и активная, по данным исследователей, с 2012 года. Исторически группа специализировалась на внешнем кибершпионаже, в том числе имеет задокументированную историю атак на Китай. В 2017–2018 годах OceanLotus проводила атаки типа watering hole для профилирования посетителей сайтов, связанных со СМИ, правозащитными организациями и гражданским обществом. Отдельные кампании были направлены против вьетнамских правозащитников и диссидентов.

После публичного разоблачения предполагаемой связи группировки с вьетнамской IT-компанией в декабре 2020 года OceanLotus, по данным ESET, ушла в тень почти на три года. Возвращение группы было зафиксировано в 2023 году, когда Elastic Security Labs задокументировала SPECTRALVIPER в кампании против вьетнамских публичных компаний. Арсенал группировки также включает инструменты SOUNDBITE (Denis), PHOREAL (Rizzo) и WINDSHIELD (Remy).

Ключевой аналитический вывод ESET: обнаруженные кампании свидетельствуют о смещении фокуса OceanLotus с внешних на внутренние вьетнамские цели. Остаётся неясным, является ли это временной корректировкой или долгосрочным стратегическим изменением.

Атака на цепочку поставок FireAnt Metakit

Первая кампания — атака на цепочку поставок через FireAnt Metakit, популярную программную платформу для фондовых инвесторов во Вьетнаме. По данным ESET, атака предположительно началась около 2 октября 2025 года и продолжалась до марта 2026 года.

Атакующие использовали легитимный механизм обновления платформы для доставки SPECTRALVIPER ограниченному числу инвесторов, что указывает на избирательный подход к выбору жертв. Критическая уязвимость заключалась в отсутствии механизма проверки целостности: конфигурационный файл обновлений по адресу metakit.fireant[.]vn/Software/version.xml не содержал валидации подписи загружаемого бинарного файла setup.exe.

Цепочка заражения выглядела следующим образом:

1. Приложение Metakit.exe загружало вредоносный загрузчик как легитимное обновление из-за отсутствия проверки подписи.
2. Загрузчик выполнял базовую разведку хоста и передавал собранные данные через HTTP POST на промежуточный сервер, запрашивая полезную нагрузку следующего этапа.
3. Полезная нагрузка использовала технику DLL side-loading: легитимный бинарный файл загружал вредоносную библиотеку DtlCrashCatch.dll.
4. Вредоносная DLL внедрялась в процесс OneDrive.Sync.Service.exe, запуская SPECTRALVIPER.
5. Бэкдор устанавливал связь с C2-сервером financemachinelearning[.]com и передавал зашифрованную информацию о хосте.

ESET сообщает, что после 9 марта 2026 года распространение вредоносных обновлений через скомпрометированный канал не наблюдалось, что может указывать на завершение кампании операторами.

Длительная компрометация строительной корпорации

Вторая кампания была направлена против неназванной вьетнамской корпорации в сфере инфраструктурного и транспортного строительства. По данным исследователей, скрытый доступ к сети организации поддерживался с ноября 2024 года по февраль 2026 года — более 15 месяцев.

Точный вектор первоначального доступа не установлен, однако ESET предполагает эксплуатацию уязвимостей удалённого выполнения кода в публично доступном сервере Microsoft SQL. Далее атакующие развернули SPECTRALVIPER через DLL side-loading. На нескольких скомпрометированных хостах в одной сети были обнаружены три различных варианта бэкдора, что свидетельствует об активном развитии инструментария.

В этой кампании SPECTRALVIPER связывался с C2-сервером gatewayrvcenter[.]com для передачи данных профилирования хостов и получения инструкций. Бэкдор также обеспечивал латеральное перемещение по сети и функционировал как загрузчик, внедряя дополнительные бинарные файлы или шелл-код из C2 в целевые процессы.

Индикаторы компрометации

• Домены C2:financemachinelearning[.]com, gatewayrvcenter[.]com
• Скомпрометированный URL обновлений:metakit.fireant[.]vn/Software/version.xml
• Вредоносные файлы:DtlCrashCatch.dll, setup.exe
• Злоупотребление легитимными процессами:OneDrive.Sync.Service.exe, Metakit.exe

Оценка воздействия и затронутые секторы

Наибольшему риску подвержены две категории: вьетнамские организации критической инфраструктуры (транспорт, строительство) и пользователи инвестиционного программного обеспечения FireAnt Metakit. Атака на цепочку поставок особенно опасна, поскольку эксплуатирует доверие пользователей к легитимному механизму обновления. Длительная компрометация строительной корпорации (более года) демонстрирует способность группировки к устойчивому присутствию в сети, что создаёт риски утечки конфиденциальных данных о крупных инфраструктурных проектах.

Важно учитывать ограничения имеющихся данных: атрибуция и оценка стратегического разворота OceanLotus основаны преимущественно на исследовании одного вендора (ESET). Независимое подтверждение от других исследовательских групп пока отсутствует.

Практические рекомендации

• Пользователям FireAnt Metakit: проверить системы на наличие указанных IOC, в особенности файла DtlCrashCatch.dll и сетевых соединений с financemachinelearning[.]com. Связаться с разработчиком платформы для получения информации о мерах по защите механизма обновления.
• Организациям с публично доступными серверами Microsoft SQL: провести аудит конфигурации, убедиться в применении актуальных патчей и ограничить доступ из интернета.
• Сетевой мониторинг: настроить обнаружение DLL side-loading — в частности, отслеживать загрузку нетипичных DLL легитимными процессами, а также инъекции в OneDrive.Sync.Service.exe.
• Разработчикам ПО: внедрить криптографическую проверку подписи обновлений. Отсутствие валидации целостности в FireAnt Metakit стало ключевым фактором успеха атаки.
• Проверка сетевого трафика: заблокировать или отслеживать обращения к доменам financemachinelearning[.]com и gatewayrvcenter[.]com.

Обнаруженные кампании OceanLotus демонстрируют два тактических приоритета группировки: эксплуатацию доверия к цепочкам поставок ПО и долгосрочное скрытое присутствие в сетях крупных организаций. Организациям во Вьетнаме, особенно в секторах критической инфраструктуры и финансов, следует немедленно проверить свои системы на указанные индикаторы компрометации и усилить контроль целостности механизмов обновления используемого программного обеспечения.