夜雨聆风安全研究团队对 2024 至 2026 年 海莲花(OceanLotus) 组织活动的追踪显示,该组织的运营重点发生了转变。在此期间,与越南相关的 OceanLotus 组织在对外行动中采取了更具选择性的方式,同时越来越重视越南境内间谍活动。研究人员发现了两起涉及 SPECTRALVIPER 后门的独立行动:一起是针对越南股票投资者的供应链攻击,另一起是针对越南某基础设施和交通建设公司的长期间谍行动。
目前尚不清楚这种转变是临时调整还是长期战略变化,但这个已有 15 年历史的 APT 组织继续展现出攻击性的战术和工具制作水平。
本次活动关键内容:
2024 年中至 2026 年 2 月,OceanLotus 使用其标志性植入程序 SPECTRALVIPER 入侵了一家越南基础设施和交通建设企业的网络。
2025 年 10 月至 2026 年 3 月,OceanLotus 利用越南股票投资者广泛使用的软件平台 FireAnt Metakit 实施了供应链攻击。
尽管此类攻击可能产生广泛影响,但观察到最终只有少数个体接收了 SPECTRALVIPER,表明这是选择性目标攻击。
一次操作安全失误让研究人员得以深入了解 SPECTRALVIPER 的内部架构。
海莲花(OceanLotus),又称 APT32,是一个据称与越南政府利益相关的网络间谍组织。根据遥测数据,该组织的活动最早可追溯到 2012 年,甚至可能更早。OceanLotus 主要针对中国和东南亚地区,重点关注越南;该组织参与了多种行动,从大规模数字画像行动到针对越南人权活动家的高针对性攻击。
OceanLotus 以持续创新和扩展其 Windows 和 Linux 后门工具库著称,经常实施独特的网络协议或根据特定行动目标定制数据收集功能。其知名工具包括:
Denis(又称 SOUNDBITE):实现 DNS 隧道用于命令控制通信
PHOREAL:利用 ICMP 协议进行命令控制通信
WINDSHIELD:具有代理绕过机制
最新后门 SPECTRALVIPER:包含编排功能
2017 年至 2020 年间,多份详细披露其网络间谍活动的报告让 OceanLotus 引起了公众广泛关注。这些行动包括 2017-2018 年针对东南亚的大规模水坑攻击、2019 年入侵宝马和现代等企业,以及同年针对德国一名越南异X人士的攻击。该组织还与 2019 至 2020 年针对人X捍卫者的行动。
然而,该组织的行动在 2020 年遭遇挫折,当时 Facebook 公开认定了一家被认为是 OceanLotus 掩护的公司。此次曝光后,关于该组织的公开报道大幅减少,其活动在数年间受到的关注相对较少。
OceanLotus 于 2023 年重新公开出现,Elastic 安全实验室发布报告描述了一起使用此前未记录的后门 SPECTRALVIPER 针对越南企业的攻击。在此基础上,本次研究考察了该组织 2024 年中至 2026 年初的最新活动。在此期间,研究人员识别出两起独立行动,均以 SPECTRALVIPER 作为主要后门,但目标受害者特征差异很大。
第一起行动涉及入侵一家基础设施和交通建设企业。此次入侵始于 2024 年中,持续至 2026 年 1 月。
第二起行动是供应链攻击,始于 2025 年末,持续至 2026 年 3 月。在此次行动中,OceanLotus 入侵了越南股票投资平台 FireAnt Metakit 的更新服务器,用恶意 payload 替换合法软件更新,最终部署 SPECTRALVIPER。此次行动似乎针对股票投资者,可能与越南近期推动证券市场改革的努力有关,表明可能与境内监控或调查目标相关。
此外,2025 年 7 月,一起涉及向 Python 包索引(PyPI)上传恶意 wheel 包的供应链攻击被归因于 OceanLotus。但遥测数据未发现任何受影响的受害者,研究人员缺乏足够的可见性来独立验证这一归因。
总体而言,现有证据表明 OceanLotus 的运营模式可能发生了转变。自 2020 年其实体掩护公司曝光以来,该组织似乎对境外间谍活动采取了更具选择性的方式,同时越来越重视境内目标。
值得注意的是,OceanLotus 的最新活动似乎与越南国内近期的各种发展相吻合。
在此背景下,相关机构现在可能正在部署越来越多的资源来打击腐败以及更广泛的金融犯罪。研究人员认为,OceanLotus 可能以某种方式与这些努力相关联,这可能是该组织在过去两年左右明显重新聚焦境内情报和监控的另一个原因。事实上,此次行动中识别出的两个目标与近期越南公共领域的司法事件相呼应。
例如,2025 年 10 月下旬,越南金融监管机构披露,过去十年约有 70 家全国性大型公司被发现误报债券销售,这一披露导致该国主要股指下跌 5.5%。这一公告表明,在观察到 OceanLotus 入侵 FireAnt 股票交易应用时,越南执法部门可能正在对该国股市开展广泛调查。
基于这些因素,研究人员认为 OceanLotus 的供应链攻击很可能是当前越南反腐败和金融犯罪调查工作的一部分。
针对股票投资者的行动
供应链攻击
FireAnt 供应链攻击估计始于 2025 年 10 月左右,持续至 2026 年 3 月。在此期间,研究人员识别出少数暴露于供应链的股票投资者,但最终只有一小部分人接收了 SPECTRALVIPER 后门。研究团队多次尝试通知 FireAnt 该事件,但未收到回应。
FireAnt 是一家越南金融科技公司,为个人和机构投资者提供股票市场数据、分析和投资支持工具平台。它被认为是越南领先的数字投资平台之一,提供实时市场数据、技术分析功能和人工智能驱动的洞察,以及投资者可以分享信息和观点的社区组件。在这个生态系统中,FireAnt MetaKit 是专注于数据传输的专用软件组件,旨在向 AmiBroker、MetaStock 和 MetaTrader 等技术分析平台直接提供实时和历史金融市场数据。
2025 年 10 月 2 日,研究人员检测到第一个源自 FireAnt MetaKit 合法更新 URL 的恶意 payload。该域名解析到 FireAnt 更新服务器的真实 IP 地址,表明存在供应链入侵场景。对该 payload 的分析显示这是第一版下载器,表明此次活动可能代表行动的早期阶段,OceanLotus 正在初始受害者身上测试传输机制。
除了观察到直接从 FireAnt 更新服务器传输的 payload 外,研究人员还发现了 FireAnt MetaKit 软件使用的更新协议存在缺陷。具体而言,更新配置文件缺乏任何完整性验证机制。
其次,获取版本.xml 文件和任何更新二进制文件所使用的网络协议缺乏 SSL/TLS 加密,使 FireAnt MetaKit 容易受到拦截攻击;但在此次行动中未观察到 OceanLotus 利用这一技术。
执行链
由于缺乏签名验证,Metakit.exe 将恶意下载器作为合法更新执行。启动后,下载器执行基本主机侦察,并通过 HTTP POST 请求将收集的信息传输到暂存服务器,请求下一阶段 payload。
在所有观察到的样本中,下载 API V1/Update/GetUpdate 保持一致。但暂存基础设施随时间演变,命令控制服务器最初托管在 [139.162.11.152](139.162.11.152),后来迁移到 [142.91.98.77](142.91.98.77)。
在后续阶段,下载器部署了涉及 DtlCrashCatch.dll 的侧加载链,DtlCrashCatch.dll 是配置为加载器的 SPECTRALVIPER,及其配套可执行文件 IntelAudioService.exe。
分析显示,IntelAudioService.exe 实际上是合法签名可执行文件 dtlupdate.exe 的副本。
执行后,DtlCrashCatch.dll 将自身注入 OneDrive.Sync.Service.exe 进程,启用后门模式执行。然后后门向硬编码 URL 发送信标请求,将加密的主机信息嵌入 HTTP Cookie 头中。历史上,这些数据以前缀 euconsent-v2 = 开头;但在此次行动中,观察到使用前缀 zd_cs_pm=,这是该变体的首次出现。
自 2026 年 3 月 9 日以来,研究人员未观察到通过受感染渠道分发的进一步恶意更新,表明供应链攻击可能已经结束。
针对大型企业的行动
研究人员评估,越南某基础设施和交通建设企业的企业网络入侵最早始于 2024 年 11 月,持续至 2026 年 2 月。虽然未直接观察到初始访问向量,但对受害者面向公众的服务器的分析表明,攻击者可能利用了 Microsoft SQL 服务器中的远程代码执行漏洞来建立初始立足点。
在此期间,研究人员识别出部署在网络中的多个 SPECTRALVIPER 变体,使用共享和不同的命令控制服务器。值得注意的是,这些部署表现出细微差异,可能针对受感染主机的环境进行了定制。
Genuine.exe、Updater.exe 和 AutoCAD242.exe 是同一合法签名可执行文件 Toolbox.exe 的变体,所有这些都需要命令行参数 - uiDll 才能使侧加载机制正常工作。与供应链攻击类似,侧加载的 DLL 是加载器配置中的 SPECTRALVIPER,随后将 SPECTRALVIPER 后门注入主机进程。
SPECTRALVIPER:结构分析
对 SPECTRALVIPER 的分析与 Elastic 安全实验室报告的发现高度一致。研究人员没有重复先前发布的细节,而是通过提供对恶意软件内部类结构的额外洞察来扩展该工作。
在调查过程中,研究人员识别出两个包含运行时类型信息的样本,这使得重建部分类层次结构成为可能。这一视角提供了对 SPECTRALVIPER 功能及其底层架构设计的更深入可见性。
从高层来看,SPECTRALVIPER 作为主动后门运行,通过 HTTPS 与其命令控制服务器通信。它通过使用预定义的 User-Agent 头向硬编码地址发送信标来启动通信,加密的主机画像数据嵌入在 HTTP Cookie 头中,前缀为 euconsent-v2 = 或 zd_cs_pm=。
命令控制域名似乎为每次行动精心设计,以融入受害者的网络流量。例如,financemachinelearning.com用于针对股票投资者的行动,而gatewayrvcenter.com在针对基础设施和交通建设公司网络的活动中被观察到。
SPECTRALVIPER 还通过编排模型支持横向移动,其中一个实例被指定为负责与命令控制基础设施通信的编排器。该编排器通过命名管道通道向其他受感染主机分发命令。在代码库中,实例间通信通过 XGU::Pivot::StartLink 和 XGU::Pivot::Internal::WaitNew_RemotePipe 等方法实现。
对这些方法名称的分析表明,XGU 代表支撑 SPECTRALVIPER 的内部框架。Pivot 子类继承自 XGU,负责编排功能。另一个关键子类 Feature 封装了恶意软件的远程控制功能。
相关链接:
