ベトナムに関連する脅威アクター「OceanLotus」(APT32として広く知られる)が、外国を標的とした活動から国内諜報活動へと戦略的な方針転換を図っています。
活動歴15年を誇るこのグループは、2024年から2026年にかけて、独自のバックドア「SPECTRALVIPER」を駆使した高度に標的を絞った2つのキャンペーンを展開しました。
一方の作戦ではベトナムの主要インフラ企業が侵害され、もう一方では著名な株式投資プラットフォームであるFireAnt MetaKitへの巧妙なサプライチェーン攻撃が行われました。
こうした戦略的な方針転換は、ベトナムが近年推進している「熔炉作戦(Blazing Furnace)」と呼ばれる汚職撲滅キャンペーンと強く合致しています。
金融セクターや企業ネットワークを標的にしていることから、OceanLotusは金融犯罪や企業不正の監視に向けた国内の法執行活動を支援しているものとみられます。
2025年10月から2026年3月にかけて、OceanLotusはFireAnt MetaKitのアップデートインフラを侵害しました。同ソフトウェアは、AmiBrokerやMetaTraderといったテクニカル分析ツールを利用する投資家向けにリアルタイムの市場データを提供しています。
攻撃者が悪用したのは、FireAntのアップデートプロトコルに潜む重大なセキュリティ上の欠陥でした。具体的には、設定ファイルに対するSSL/TLS暗号化とデジタル署名の検証がいずれも実装されていませんでした。
こうしたセキュリティ制御の欠如により、アプリケーションは正規のソフトウェアアップデートに偽装した悪意ある実行ファイルを無条件に信頼してダウンロードしてしまいました。
悪意あるダウンローダーが実行されると、多段階の感染プロセスが引き起こされました。
FireAntソフトウェアの広範な普及にもかかわらず、テレメトリデータによると、最終的なSPECTRALVIPERのペイロードを受け取った投資家はごく少数に限られていました。
このことは、脅威アクターが国内の特定の情報収集要件に基づいて標的を慎重に選別していたことを示しています。
サプライチェーン攻撃に先立ち、OceanLotusはベトナムのインフラ・交通建設企業のネットワーク内に1年以上潜伏していました。
2024年半ばごろから、攻撃者はインターネットに公開されたMicrosoft SQL Serverのリモートコード実行脆弱性を悪用して初期侵入に成功したと考えられています。
侵入後、グループは特定のホスト環境に合わせて調整した複数のSPECTRALVIPERの亜種を展開したと、welivesecurityが報告しています。
セキュリティ研究者にとって幸いだったのは、攻撃者のオペレーションセキュリティ上のミスにより、マルウェアサンプル内にRTTI(Run-Time Type Information)が残存していたことです。
この手違いによってSPECTRALVIPERの内部アーキテクチャが明らかになり、同マルウェアがアクティブなバックドアと高機能なローダーの両方として機能していることが確認されました。
OceanLotusは今もなお、攻撃的な戦術と深い技術的巧妙さを発揮し続けています。その活動の焦点が国内捜査の支援へと移行しつつある一方で、進化を続けるその兵器庫は、同グループが依然として侮れない高度持続的脅威であることを証明しています。
翻訳元: https://cyberpress.org/oceanlotus-hits-stock-investors/
