كشفت شركة ESET عن حملة تجسس سيبراني نفذتها مجموعة OceanLotus المرتبطة بفيتنام، استهدفت مستثمري الأسهم المحليين عبر منصة FireAnt Metakit. بدأت الحملة في أكتوبر 2025 واستمرت حتى مارس 2026، حيث استغل المهاجمون خادم التحديثات الشرعي للبرنامج لتوزيع برمجية SPECTRALVIPER على مجموعة محدودة من المستخدمين.
غياب آلية التحقق من سلامة التحديثات سمح بتنفيذ ملف خبيث على أنه تحديث شرعي، ليقوم بجمع معلومات أساسية عن الأجهزة وإرسالها إلى خادم مرحلي عبر طلبات HTTP، قبل تحميل الحمولة التالية.
آلية تحميل SPECTRALVIPER
اعتمد المهاجمون على سلسلة تحميل جانبية باستخدام DLL، حيث يتم تشغيل ملف شرعي لإطلاق DLL خبيث باسم DtlCrashCatch.dll، والذي يحقن نفسه في عملية OneDrive.Sync.Service.exe لتفعيل برمجية SPECTRALVIPER.
بعد ذلك، يتصل البرنامج بخادم تحكم وسيطرة (financemachinelearning[.]com) لإرسال بيانات مشفرة عن الجهاز والحصول على أوامر إضافية. هذه التقنية سمحت للمهاجمين بالتحرك الجانبي داخل الشبكة وتحميل برمجيات إضافية.
استهداف شركة إنشاءات فيتنامية
إلى جانب هجوم FireAnt، رصدت ESET حملة أخرى استهدفت شركة فيتنامية للبنية التحتية والنقل منذ نوفمبر 2024 وحتى فبراير 2026. يُعتقد أن الدخول الأولي تم عبر استغلال ثغرات تنفيذ أوامر عن بُعد في خادم Microsoft SQL مكشوف للعامة.
تم نشر نسخ متعددة من SPECTRALVIPER عبر تحميل جانبي لـ DLL، حيث اتصلت البرمجية بخادم تحكم (gatewayrvcenter[.]com) لإرسال بيانات الأجهزة وتلقي التعليمات.
أدوات OceanLotus وتطورها
تُعرف المجموعة، النشطة منذ 2012، باستخدام أدوات مثل SOUNDBITE وPHOREAL وWINDSHIELD، إضافة إلى SPECTRALVIPER الذي ظهر لأول مرة في 2023. وقد ارتبطت سابقاً باستهداف مدافعين عن حقوق الإنسان وصحفيين، إضافة إلى حملات ضد الصين.
منذ كشف ارتباطها بشركة CyberOne Group عام 2020، تبنت المجموعة نهجاً أكثر انتقائية، مع تركيز متزايد على الأهداف المحلية.
دلالات استراتيجية
تشير الأدلة إلى تحول محتمل في أنماط عمل OceanLotus، حيث تركز بشكل أكبر على التجسس الداخلي في فيتنام، مع استمرارها في استخدام هجمات سلسلة التوريد كوسيلة فعالة لنشر برمجياتها. هذا يعكس قدرة المجموعة على التكيف بعد تعرضها للفضح، واستمرارها في تطوير أدواتها للحفاظ على حضورها في مشهد التهديدات السيبرانية.
