Siber güvenlik alanında dünya lideri olan ESET, Vietnam ile bağlantılı Gelişmiş Kalıcı Tehdit grubu (APT) OceanLotus’un, iç hedefleri gözetlemek üzere yön değiştirdiğini tespit etti.
2024 ortasından Şubat 2026’ya kadar, Vietnam yanlısı APT grubu OceanLotus, kendine özgü implantı SPECTRALVIPER ile Vietnamlı bir altyapı ve ulaşım inşaat şirketinin ağını ele geçirdi. Ekim 2025’ten Mart 2026’ya kadar OceanLotus, Vietnam’daki borsa yatırımcıları tarafından yaygın olarak kullanılan bir yazılım platformu olan FireAnt MetaKit’i kullanarak bir tedarik zinciri saldırısı gerçekleştirdi.
Yurt içi hedefler, bu grubun operasyonel kalıplarında bir değişimi temsil ediyor. Vietnamlı yetkililer yolsuzluğa karşı büyük bir mücadele başlatmışken OceanLotus’un son faaliyetleri Vietnam’ın iç sahnesinde son zamanlarda yaşanan çeşitli gelişmelerle uyumlu görünüyor.
ESET Research’ün 2024–2026 yılları arasında OceanLotus faaliyetlerini izlemesi, Vietnam bağlantılı grubun dış operasyonlara daha seçici bir yaklaşım benimsediği ve iç casusluğa giderek daha fazla önem verdiği için operasyonel odak noktasında bir kayma olduğunu ortaya çıkardı. ESET araştırmacıları, SPECTRALVIPER arka kapısını içeren iki farklı kampanya tespit etti: Vietnam’daki borsa yatırımcılarını hedef alan bir tedarik zinciri saldırısı ve Vietnamlı bir altyapı ve ulaşım inşaat şirketine yönelik uzun süreli bir casusluk operasyonu. Bu değişimin geçici bir ayarlama mı yoksa uzun vadeli bir stratejik değişiklik mi olduğu henüz belirsiz; ancak 15 yıllık geçmişi olan bu APT grubu, agresif taktikler ve araçlarında ustalık sergilemeye devam ediyor. OceanLotus, Windows ve Linux arka kapı cephaneliğini sürekli olarak yenilemesi ve genişletmesiyle biliniyor; genellikle benzersiz ağ protokolleri uygular veya veri toplama yeteneklerini belirli operasyonel hedeflere göre uyarlıyor.
2017 ile 2020 yılları arasında OceanLotus, siber casusluk faaliyetlerini detaylandıran çok sayıda raporun ardından kamuoyunun büyük ilgisini çekti. Bunlar arasında 2017–2018 yıllarında Güneydoğu Asya’yı hedef alan büyük ölçekli watering-hole saldırıları, 2019’da BMW ve Hyundai gibi şirketlere yapılan sızmalar ve aynı yıl Almanya’daki bir Vietnamlı muhalifin hedef alınması yer alıyordu. Grup ayrıca 2019 ile 2020 yılları arasında insan hakları savunucularına yönelik operasyonlarla ve 2020’de Wuhan belediye yönetimini hedef alan casusluk faaliyetleriyle de bağlantılıydı. Ancak Facebook’un OceanLotus’un paravanı olarak kullanıldığına inanılan şirketi kamuoyuna ifşa etmesiyle grubun operasyonları 2020’de bir darbe aldı. Bu ifşanın ardından, grup hakkında kamuoyuna yansıyan haberler önemli ölçüde azaldı ve faaliyetleri birkaç yıl boyunca nispeten az ilgi gördü.
İlk kampanya, bir altyapı ve ulaşım inşaat şirketinin yeni keşfedilen güvenlik ihlaliyle ilgiliydi. Bu saldırı 2024 ortasında başladı ve Ocak 2026’ya kadar devam etti. İkinci kampanya ise 2025 sonlarında başlayan ve Mart 2026’ya kadar süren bir tedarik zinciri saldırısıydı. Bu operasyonda OceanLotus, Vietnamlı bir hisse senedi yatırım platformu olan FireAnt MetaKit’in güncelleme sunucusunu ele geçirdi ve meşru yazılım güncellemelerini, nihayetinde SPECTRALVIPER’ı dağıtan kötü amaçlı bir yük ile değiştirdi. Bu kampanya, hisse senedi yatırımcılarını hedef almış gibi görünüyor ve Vietnam’ın menkul kıymetler piyasası reformlarını teşvik etmeye yönelik son çabalarıyla bağlantılı olabilir; bu da yurt içi izleme veya soruşturma hedefleriyle olası bir bağlantı olduğunu düşündürüyor.
Her iki durumda da OceanLotus, kurbanların sistemlerine kendine özgü arka kapısı olan SPECTRALVIPER’ı yerleştirdi. Özellikle bir operasyonel güvenlik açığı, SPECTRALVIPER örneğinde çalışma zamanı türü bilgi adlarının bozulmadan kalmasına neden oldu ve bu da arka kapının iç mimarisinin bazı yönlerini yeniden oluşturulmasını sağladı. Bu tür bir saldırının geniş potansiyel etkisine rağmen ESET nihayetinde SPECTRALVIPER’ı alan sadece birkaç kişi gözlemledi; bu da seçici bir hedefleme olduğunu gösteriyor. Genel olarak, mevcut kanıtlar OceanLotus’un operasyonel kalıplarında potansiyel bir değişime işaret ediyor. 2020 yılında fiziksel paravan şirketinin ortaya çıkmasından bu yana, grup yabancı casusluk faaliyetlerinde daha seçici bir yaklaşım benimsemiş ve iç hedeflere giderek daha fazla ağırlık vermiş görünüyor.
OceanLotus’un son faaliyetlerinin, Vietnam’ın iç sahnesinde son zamanlarda yaşanan çeşitli gelişmelerle uyumlu olduğu dikkat çekici. Son yıllarda Vietnamlı yetkililer, Blazing Furnace adını verdikleri bir programla yolsuzluğa karşı büyük bir mücadele başlattı. Bu bağlamda, Vietnam’ın güvenlik aygıtının yolsuzlukla (ve daha geniş anlamda finansal suçlarla) mücadele etmek için giderek daha önemli kaynaklar ayırdığı görülmektedir. ESET, OceanLotus’un bu çabalarla bir şekilde ilişkili olabileceğine ve bunun, grubun iç istihbarat ve gözetime yeniden odaklanmasının ardındaki bir başka neden olabileceğine inanıyor.
APT32 olarak da bilinen OceanLotus, Vietnam hükümetinin çıkarlarıyla uyumlu olduğu bildirilen bir siber casusluk grubu. ESET telemetrisine göre, bu gruba atfedilen faaliyetler 2012 yılına ve muhtemelen daha öncesine kadar uzanıyor. OceanLotus, esas olarak Çin ve Güneydoğu Asya’yı (özellikle Vietnam’ı) hedef alıyor; büyük çaplı dijital profil oluşturma kampanyalarından Vietnamlı insan hakları aktivistlerine yönelik son derece hedefli saldırılara kadar çeşitli operasyonlarla ilişkilendiriliyor.
