За последние два года группа OceanLotus, которую связывают с интересами правительства Вьетнама, существенно изменила свой операционный фокус. Если раньше её цели находились преимущественно за рубежом, то теперь основной упор делается на внутреннюю разведку. К такому выводу пришли аналитики, изучавшие активность группировки с середины 2024 года по начало 2026 года. За этот период было зафиксировано две кампании, в которых использовался один и тот же инструмент - бэкдор SPECTRALVIPER (вредоносная программа удалённого доступа с функциями оркестрации). Однако цели этих операций оказались принципиально разными.
Описание
Первая кампания была направлена против вьетнамской инфраструктурно-транспортной строительной корпорации. Внедрение в её сеть началось ещё в середине 2024 года и продолжалось до февраля 2026 года. Вторая операция представляла собой атаку на цепочку поставок: злоумышленники скомпрометировали сервер обновлений платформы FireAnt Metakit, которую используют биржевые инвесторы во Вьетнаме. Эта атака длилась с октября 2025 года по март 2026 года. Несмотря на широкий потенциальный охват, конечную вредоносную нагрузку получили лишь несколько человек, что указывает на избирательный характер цели.
В отчёте исследовательской компании подробно описан механизм компрометации цепочки поставок. FireAnt Metakit - это специализированный компонент для доставки данных с фондового рынка в аналитические платформы. Обновления распространялись через HTTP без какой-либо проверки целостности. Конфигурационный файл version.xml не имел цифровой подписи, а сам протокол не использовал шифрование SSL/TLS. Это позволило злоумышленникам заменить легитимное обновление вредоносным файлом. Первый такой файл был обнаружен 2 октября 2025 года. Вредоносный загрузчик собирал информацию о системе и отправлял её на сервер управления, после чего получал следующую ступень - SPECTRALVIPER, сконфигурированный как загрузчик. Он применял технику side-loading (загрузка вредоносной библиотеки через легитимный исполняемый файл) и внедрялся в процесс OneDrive.Sync.Service.exe. Серверы управления атакующих для этой кампании использовали маскировочное доменное имя financemachinelearning[.]com.
Вторая кампания, как полагают, началась с эксплуатации уязвимостей удалённого выполнения кода на Microsoft SQL Server строительной компании. После получения доступа злоумышленники развернули несколько вариантов SPECTRALVIPER с различными серверами управления. Среди них были mxprodesign[.]com и gatewayrvcenter[.]com. Примечательно, что в одном из образцов бэкдора были оставлены неповреждённые данные RTTI (информация о типах времени выполнения), что позволило восстановить внутреннюю архитектуру вредоносной программы. SPECTRALVIPER поддерживает перемещение внутри сети по принципу оркестрации: один экземпляр назначается оркестратором, который передаёт команды другим заражённым машинам через именованные каналы.
Примечательно, что обе атаки происходили на фоне масштабной антикоррупционной кампании во Вьетнаме, получившей название "Blazing Furnace" ("Пылающая печь"). Эта кампания, запущенная Коммунистической партией Вьетнама, уже привела к отставке двух президентов и наказанию тысяч членов партии. Осенью 2025 года финансовый регулятор Вьетнама объявил о выявлении крупных нарушений при отчётности по корпоративным облигациям, что вызвало падение фондового индекса. Исследователи полагают, что атака на платформу FireAnt могла быть частью расследований, связанных с этими нарушениями. Таким образом, OceanLotus, вероятно, используется для сбора информации в интересах вьетнамских силовых структур, которые активизировали борьбу с финансовыми преступлениями.
Стоит отметить, что до 2020 года OceanLotus привлекала к себе значительное внимание. Например, в 2019 году группировка атаковала компании BMW и Hyundai, а также вьетнамского диссидента в Германии. Однако после того, как Facebook* раскрыла компанию-прикрытие OceanLotus, публичных сообщений о ней стало меньше. Теперь группа вернулась, но уже с другим фокусом. В целом активность 2024-2026 годов указывает на то, что OceanLotus стала гораздо избирательнее в иностранных операциях и сосредоточилась на внутреннем мониторинге. Сохранив высокий уровень технической изощрённости, группа продолжает использовать сложные методы обфускации и уникальные сетевые протоколы. Есть ли это временная корректировка или долгосрочная стратегия, пока неясно, но очевидно, что 15-летняя APT-группа остаётся серьёзной угрозой для целей в Юго-Восточной Азии.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
IPv4
- 104.248.144.136
- 104.248.144.178
- 128.199.159.127
- 128.199.159.60
- 139.162.11.152
- 139.180.128.42
- 139.99.33.239
- 142.91.98.77
- 142.93.116.157
- 142.93.127.120
- 142.93.71.92
- 142.93.75.161
- 142.93.75.172
- 142.93.75.192
- 149.56.180.243
- 158.69.100.199
- 159.65.128.57
- 159.65.129.241
- 159.65.134.146
- 159.65.137.109
- 159.65.137.144
- 159.65.7.45
- 164.132.45.67
- 166.88.77.186
- 178.128.100.189
- 178.128.103.202
- 178.128.103.207
- 178.128.103.24
- 178.128.103.74
- 178.128.103.79
- 178.128.107.83
- 178.128.209.153
- 178.128.219.207
- 178.128.223.102
- 178.128.24.201
- 178.128.28.89
- 178.128.28.93
- 178.128.90.102
- 178.128.90.107
- 178.128.90.108
- 178.128.90.109
- 178.128.90.138
- 178.128.90.182
- 178.128.90.223
- 178.128.90.66
- 178.128.98.139
- 178.128.98.89
- 192.34.109.163
- 192.34.109.173
- 194.68.26.241
- 198.50.191.194
- 198.50.191.195
- 198.50.234.111
- 198.50.234.96
- 206.189.145.242
- 206.189.47.116
- 206.189.85.162
- 206.189.88.50
- 206.189.89.121
- 206.189.95.214
- 209.97.164.158
- 209.97.164.96
- 38.60.245.37
- 46.183.220.81
- 46.183.220.82
- 46.183.222.82
- 46.183.222.83
- 46.183.222.84
- 46.183.223.106
- 46.183.223.107
- 74.121.190.130
- 74.121.190.150
- 79.143.87.230
- 79.143.87.233
- 84.38.132.226
- 84.38.132.227
Domains
- 10cm.mypets.ws
- ad-appier.com
- adineohler.com
- aisicoin.com
- alicervois.com
- aliexpresscn.net
- andreagahuvrauvin.com
- andreagbridge.com
- anessallie.com
- antenham.com
- aol.straliaenollma.xyz
- arabica.podzone.net
- arinaurna.com
- arkoimmerma.com
- assets-cdn.blogdns.net
- au.charlineopkesston.com
- aulolloy.com
- avidilleneu.com
- avidsontre.com
- aximilian.com
- baotgm.net
- beaudrysang.xyz
- becreybour.com
- benchtag2.com
- biasatts.com
- bootstraplink.com
- braydenhateaub.com
- byronorenstein.com
- carosseda.com
- cart.gotdns.com
- cdn1.shacknet.us
- cdn-ampproject.com
- cdnazure.com
- cdnscr.thruhere.net
- cdn-tynt.com
- chascloud.com
- chinaport.org
- christienoll.xyz
- christienollmache.xyz
- cloud.360cn.info
- cnrp7.org
- coachcybersecurity.com
- conggiaovietnam.net
- cyhire.cechire.com
- daff.faybilodeau.com
- daichungvienvinhthanh.com
- danchimviet.info
- danviet.vn
- danviethouston.com
- dieordaunt.com
- dns.chinanews.network
- dreyoddu.com
- ds-aksb-a.likescandy.com
- dwarduong.com
- eckenbaue.com
- effecto-azureedge.net
- eighrimeau.com
- errellawle.com
- erstin.com
- figbc.knowsitall.info
- financemachinelearning.com
- frahreiner.com
- fvpoc.org
- gardencityclub.com
- gatewayrvcenter.com
- gui.dnsdojo.net
- hieryells.com
- hristophe.com
- html5.endofinternet.net
- ichardt.com
- ichefbcci.is-a-chef.com
- icmannaws.com
- iecopeland.com
- illagedrivestralia.xyz
- imgincapsula.com
- io.blogsite.org
- irkaimboeuf.com
- jamedalue.com
- jamyer.com
- jeanessbinder.com
- jeffreyue.com
- karelbecker.com
- karolinblair.com
- keoucha.com
- labs-apnic.net
- laudiaouc.com
- lauradesnoyers.com
- lbertussbau.com
- lb-web-stat.com
- lcontacts.servebbs.net
- leadingfilipinoteams.com
- lienketqnhn.org
- loridanase.com
- marrmann.com
- meroque.com
- metacachecdn.com
- mfaic.gov.kh
- mod.gov.kh
- moureuxacv.com
- mtgvinh.net
- mxprodesign.com
- myolton.com
- nasahlaes.com
- nav.neat-url.com
- nguoitieudung.com.vn
- ntjeilliams.com
- ntop.dieordaunt.com
- office.ourkekwiciver.com
- omasicase.com
- onnaha.com
- onteagle.com
- optnmstri.com
- orinneamoure.com
- orresto.com
- orrislark.com
- ourkekwiciver.com
- pagefairjs.com
- phnompenhpost.com
- pixel1.dnsalias.net
- player-cnevids.com
- p-typekit.com
- rackerasr.com
- raovatcalitoday.com
- rcuselynac.com
- s0-2mdn.net
- s-adroll.com
- sanauer.com
- sarc.onteagleroad.com
- scdn-cxense.com
- secure-imrworldwide.com
- sophiahoule.com
- sskimresources.com
- static.tagscdn.com
- static-addtoany.com
- stienollmache.xyz
- stopherau.com
- straits-times.is-an-actor.com
- straliaenollma.xyz
- tcog.thruhere.net
- tefanie.com
- tefanortin.com
- tephens.com
- thongtinchongphandong.com
- tinkhongle.com
- tips-renew.webhop.info
- tiqqcdn.com
- tiwimg.com
- toithichdoc.blogspot.com
- traveroyce.com
- trc.webhop.net
- trieudaiviet.com
- triviet.news
- tsworthoa.com
- ucaargo.com
- ucairtz.com
- urnage.com
- ursulapapst.xyz
- utagscript.com
- venionne.com
- virginiaar.com
- weblink.selfip.info
- wfpscripts.homeunix.com
- widgets-wp.com
- your-ip.getmyip.com
SHA1
- 032ef58b7978d079287874044dc516af624ae5f5
- 150764a71deef498de6f8c95ecccb4455c1b601f
- 19a69f856efa811c376f68e4feb0997b4724f8bd
- 202fb56edb2fb542e05c845d62ffbdcfbebed9ec
- 2194271c7991d60ae82436129d7f25c0a689050a
- 2a387d7d47a63d6e47d9cc92d3dc69a53816c2c0
- 377fdc842d4a721a103c32ce8cb4daf50b49f303
- 3dfc3d81572e16ceaae3d07922255eb88068b91d
- 48febb91a10d1462461a012fafc0918bb028e947
- 490194e9bb5128eca8693ad9e610891c2ed185af
- 49dff13500116b6c085c5ce3de3c233c28669678
- 4ad36ad6c165b5174967020cb1a3358f78d7a283
- 50a755b30e8f3646f9476080f2c3ae1347f8f556
- 51176139b0b2220b802c1578a4994df68df5bcd1
- 511b77459673ec42163f19e300ff1d233b6c39fb
- 57352b3ceee32216e5aa20baa848483d7ab5a6fb
- 59a8553a4f8130f576ab234e0b220be4d4da0e98
- 7105caa6d4fd8a2c67523d385277528e556ae4f6
- 7642f2181cb189965c596964d2edf8fe50da742b
- 77c42f66dadf5b579f6bcd0771030adc7aefa97c
- 82e579bd49d69845133c9aa8585f8bd26736437b
- 83d520e8c3fdaefb5c8b180187b45c65590db21a
- 865a1739337d3303b3ab02c5e694c22b79c42b7d
- 8b991d4f2c108fd572c9c2059685fc574591e0be
- 8cd78b8db76563e4f972abe817ceee9cf9b00037
- 91f042f59be4bdcb6e5ea21b91decd731c175b54
- 996d0ac930d2cdb16ef96edc27d9d1afc2d89ca8
- 9bc06df9f932746a05ee728c8b103bd3ba6bf395
- 9ca1a5c7f79882db913534c1e62b26bcdcb9f6dd
- 9df3f0d8525edf2b88c4a150134c7699a85a1508
- a177ed0bffeb1efe1d9d31d72a82ef2625ae646d
- a40ee8ff313e59aa92d48592c494a4c3d81449af
- a8e2bbbfcb86500322d2367744fa12755ab0c165
- ac10f5b1d5ecab22b7b418d6e98fa18e32bbdeab
- b0fea981d02f6f76de81ebaefcb68b7d205d6194
- b4e6ddcd78884f64825fdf4710b35cdbeaabe8e2
- b744878e150a2c254c867bad610778852c66d50a
- b7b2d2db544f9eea74453cdf2b8beea58cf07c48
- b998f1b92ed6246ded13b79d069aa91c35637dec
- bb060e5e7f7e946613a3497d58fbf026ae7c369a
- bd39591a02b4e403a25aae502648264308085ded
- c2eb1033bc01ab0fd732a7ba4967be02c0690bf0
- cc918f0da51794f0174437d336e6f3edfdd3cbe4
- cd13210a142da4bc02da47455eb2cfe13f35804a
- d1357b284c951470066aaa7a8228190b88a5c7c3
- d35695f2366a43628231e73ffa83ca106306a8fa
- e2d949cf06842b5f7ae6b2dffaa49771a93a00d9
- e615632c9998e4d3e5acd8851864ed09b02c77d2
- efac23b0e6395b1178bcf7086f72344b24c04dcc
- f74f1feb62b662cda489fdb2453727824e55acb9
- f8f8209987ca7f139de6a62f9e6ee21bd2ae93a9
- f96bcd875836da89800912de1e557891697c7cf4
- fdcb35cd9cb8dc1474cbcdf1c9bb03200dcf3f18
- fe0161fb8a26a0bf4afad746c7ebf89499dcd3a7
SHA256
- 1eda0de280713470878c399d3fb6c331ba0fadd0bd9802ed98ae06218a17f3f7
- 8b824be52de7a8723124bad5a45664c574d6e905f300c35719f1e6988887bd62