OceanLotus APTは精巧なサプライチェーン攻撃を実行し、ベトナムで広く利用されている市場データコンポーネント「FireAnt MetaKit」にSPECTRALVIPERバックドアを埋め込みました。
2024年中頃から2026年初頭にかけて収集されたテレメトリデータにより、OceanLotus(APT32とも呼ばれる)が2つの異なるキャンペーンを展開していたことが明らかになりました。ひとつはベトナムのインフラ・運輸建設会社を標的とした長期スパイ侵入活動、もうひとつは株式投資家が利用するFireAnt MetaKitへの標的型サプライチェーン侵害です。
両キャンペーンはいずれもSPECTRALVIPERに依存しており、洗練されたツールセットと綿密なキャンペーン設計が窺えます。
FireAntへの攻撃は2025年10月に始まりました。FireAnt MetaKitの正規アップデートURLから悪意あるペイロードが配信されていました。初期サンプルはテスト的な反復処理とみられ、その後に登場した高度に難読化されたダウンローダーは新たなインフラと、投資家のトラフィックに紛れ込むよう明らかに意図されたキャンペーン固有のC2ドメイン「financemachinelearning[.]com」を使用していました。
アップデートメカニズムには整合性チェックが欠如しており、バージョンメタデータとバイナリの両方に暗号化されていないHTTPが使用されていたため、攻撃者が悪意あるアップデートに差し替えることが可能な状態でした。
ダウンローダーはホストの基本的な偵察を実施し、プロファイリングデータをステージングサーバーにPOSTした上で次段階のペイロードを要求し、その後サイドローディングチェーンを展開しました。
このサイドローディングでは、SPECTRALVIPERローダーである「DtlCrashCatch.dll」が、正規の署名済み「dtlupdate.exe」をリネームした「IntelAudioService.exe」とともに展開されました。
DtlCrashCatch.dllはOneDrive.Sync.Service.exeへのインジェクションを行い、その後SPECTRALVIPERはHTTP Cookieヘッダー内に暗号化されたホスト情報を埋め込む形でHTTPS C2エンドポイントへのビーコン通信を開始します(本キャンペーンでは特に「zd_cs_pm=」プレフィックスが使用されています)。
株式投資家を狙うOceanLotus
確認されたステージングホストは、139.162.11[.]152から142.91.98[.]77へと段階的に移行しています。2026年3月9日以降、悪意あるアップデートは検出されておらず、活動が停止または妨害されたと見られています。
ESETによると、OceanLotusは2024年中頃から2026年2月にかけて、大手インフラ・運輸建設企業への持続的な侵入活動を継続していました。
展開されたマルウェアは環境全体でオーケストレーションの違いを示しており、ホストの役割に応じてカスタマイズされたインプラントと一致しています。
このキャンペーンでは複数のSPECTRALVIPERバリアントが使用され、正規の署名済み実行ファイル(Toolbox.exeのバリアント)を介してサイドローディングされていました。また、初期アクセスには公開されているSQLサーバーのRCE脆弱性が利用された可能性があります。
重大なOPSECミスにより、2つのSPECTRALVIPERサンプルにRTTIシンボルが残存していたため、研究者らはマルウェア内部のクラス階層の一部を再構築することができました。SPECTRALVIPERはHTTPSベースのアクティブバックドアとして動作します。
オーケストレーションモデルとして、指定されたオーケストレーターインスタンスが名前付きパイプを介して他の侵害ホストにコマンドをリレーします(XGU::Pivot::StartLinkおよびXGU::Pivot::Internal::WaitNew_RemotePipeといったメソッドが解析されています)。
このバックドアはローダーとしても機能し、ProcessReflectorおよびProcessManagerコンポーネントを通じて追加のバイナリやシェルコードをインジェクションする能力を備えています。
各インシデントで確認されたC2ドメイン(gatewayrvcenter[.]com、coachcybersecurity[.]com、mxprodesign[.]com、power-sync-services[.]com)は、トラフィックを偽装するためにキャンペーン固有の命名戦略が採用されていることを示しています。
この一連の活動は、ベトナムが強化している汚職対策および金融調査(特に「Blazing Furnace」キャンペーンや2025年末の債券不正報告に関する規制当局の監視)と方向性が一致しています。
FireAntへの侵害のタイミングと標的の選定から、この活動は無差別な窃取や広範な産業スパイではなく、国内の金融犯罪捜査や監視目的を支援するものであった可能性が強く示唆されます。
2020年に露見し、2023年にSPECTRALVIPERとともに再浮上して以来、OceanLotusは高度なツールとステルス性の高いサプライチェーン攻撃能力を維持しながら、より選択的で国内志向の活動にシフトしているようです。
防御側は、アップデートチャネルの整合性と暗号化を監査し、署名済みバイナリの不審なサイドローディングを監視するとともに、HTTP Cookieプレフィックスを使ったビーコンや名前付きパイプを利用したオーケストレーションアーティファクトなど、SPECTRALVIPERの侵害指標(IoC)を積極的に探索することが推奨されます。
IOCs(侵害指標)
| IP | ドメイン | ホスティングプロバイダー | 初観測日 | 詳細 |
| 38.60.245[.]37 | leadingfilipinoteams[.]com | Kaopu Cloud HK Limited | 2025‑10‑05 | SPECTRALVIPERのC&Cサーバー。 |
| 139.99.33[.]239 | coachcybersecurity[.]com | OVH Singapore PTE. LTD | 2025‑09‑20 | SPECTRALVIPERのC&Cサーバー。 |
| 139.162.11[.]152 | N/A | Akamai Connected Cloud | 2025‑10‑02 | SPECTRALVIPERのホスティングサーバー。 |
| 139.180.128[.]42 | gatewayrvcenter[.]com | IRT‑CHOOPALLC‑AP | 2025‑09‑20 | SPECTRALVIPERのC&Cサーバー。 |
| 142.91.98[.]77 | N/A | LEASEWEB SINGAPORE PTE. LTD. | 2025‑12‑03 | SPECTRALVIPERのホスティングサーバー。 |
| 166.88.77[.]186 | mxprodesign[.]com | Evoxt Enterprise | 2025‑06‑23 | SPECTRALVIPERのC&Cサーバー。 |
| 194.68.26[.]241 | financemachinelearning[.]com | M247 Europe SRL | 2025‑10‑30 | SPECTRALVIPERのC&Cサーバー。 |
注意: IPアドレスとドメインは、意図せずアクセスされることを防ぐため、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://gbhackers.com/oceanlotus-targets-stock-investors/
