APT32 смещает фокус на внутренние цели во Вьетнаме

OceanLotus, также известная как APT32, смещает фокус атак на внутренние цели во Вьетнаме

Группа OceanLotus, также известная как APT32, в период с 2024 по 2026 год заметно изменила свои операционные приоритеты: вместо преимущественно внешней разведки она усилила таргетинг внутри Вьетнама. По данным отчета, этот сдвиг сопровождался двумя отдельными кампаниями с применением бэкдора SPECTRALVIPER.

Одна из операций была связана с компрометацией вьетнамской компании, работающей в сфере строительства инфраструктуры и транспорта. Вторая представляла собой атаку через цепочку поставок на программную платформу FireAnt MetaKit — инструмент, широко используемый биржевыми инвесторами во Вьетнаме.

Компрометация строительной компании

Согласно отчету, строительная компания могла быть взломана в период с ноября 2024 года по февраль 2026 года. Вероятным вектором проникновения стали уязвимости удаленного выполнения кода (RCE), в частности на сервере Microsoft SQL.

Внутри сети злоумышленники использовали различные версии SPECTRALVIPER, что указывает на адаптацию вредоносного ПО под конкретные условия скомпрометированных хостов. Такой подход позволяет группе гибко подстраивать инструментарий под разные среды и задачи.

Атака через цепочку поставок на FireAnt MetaKit

Вторая операция началась в октябре 2025 года и была нацелена на FireAnt MetaKit через механизм легитимных обновлений платформы. По данным отчета, атакующие внедрились в этот процесс и распространили вредоносные версии, которые разворачивали SPECTRALVIPER.

Такой сценарий особенно опасен: компрометация цепочки поставок позволяет атакующим заражать сразу большое число пользователей, обходя привычные сценарии защиты и повышая масштаб потенциального ущерба.

Как работает SPECTRALVIPER

Архитектура SPECTRALVIPER предусматривает двойную роль — бэкдора и загрузчика. Это дает злоумышленникам возможность манипулировать процессами и внедрять вредоносный код в целевые приложения.

Для связи с серверами управления SPECTRALVIPER использует HTTPS, скрывая ключевые данные, включая информацию о профилировании хоста и уникальный заголовок User-Agent, внутри HTTP-запросов. Такая схема коммуникации, по оценке исследователей, рассчитана на сокрытие в обычном сетевом трафике.

Особое внимание в отчете уделяется модели оркестрации, при которой разные экземпляры вредоносного ПО могут обмениваться данными и активировать команды через именованные каналы. Это повышает эффективность операций и создает условия для перемещения внутри компании в уже скомпрометированных сетях.

Связь с внутренними приоритетами Вьетнама

Авторы отчета отмечают, что время и направленность атак коррелируют с внутренними усилиями Вьетнама по борьбе с коррупцией. Это позволяет предположить, что OceanLotus может синхронизировать свои кибероперации с государственными целями по противодействию финансовым преступлениям и коррупции.

Кроме того, ошибка в области OPSEC, оставившая в SPECTRALVIPER отдельные детали программирования, помогла глубже изучить работу вредоносного ПО. Этот фактор продемонстрировал, как группа сочетает продвинутые техники с высокой оперативной дисциплиной, несмотря на отдельные просчеты.

Итог: отчет указывает на то, что OceanLotus продолжает развивать инструментарий и методы скрытного проникновения, одновременно усиливая фокус на внутренних целях во Вьетнаме и на атаках, способных затронуть стратегически значимые отрасли и массово используемые программные платформы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.