Güvenlik firması ESET, dünya genelinde siber tehditlerle mücadelede OceanLotus adlı APT grubunun yönünü iç hedeflere kaydırdığını tespit etti. 2024 ortasından 2026 Şubatına kadar olan dönemde, Vietnam destekli bu grup, Vietnamlı bir altyapı ve ulaşım inşaat şirketinin ağını ele geçirme amacıyla kendilerine özgü bir implant olan SPECTRALVIPER’i kullandı. Ardından Ekim 2025’ten Mart 2026’ya kadar FireAnt MetaKit platformunu tedarik zinciri saldırısında kullanarak meşru bir yazılım güncellemesini kötüye kullanıp zararlı yükü yaydı. Bu iç hedeflere yönelik odaklanma değişimi, Vietnam’ın iç sahnesindeki gelişmelerle uyumlu görülüyor ve grubun operasyonel davranışlarında belirgin bir kayma işaretleri taşıyor. ESET araştırması, OceanLotus’un iki ayrı kampanyada SPECTRALVIPER arka kapısını içerenmalware zincirine dikkat çekti: birincisi Vietnam’daki borsa yatırımcılarını hedefleyen tedarik zinciri saldırısı, ikincisi ise Vietnamlı bir altyapı ve ulaşım inşaat şirketine yönelik uzun süreli casusluk operasyonu. Değişimin geçici mi yoksa uzun vadeli bir strateji mi olduğu belirsizliğini koruyor; ancak grubun 15 yıllık geçmişi göz önüne alındığında agresif taktikler ve araçlar sürdürülüyor.
OceanLotus, Windows ve Linux tabanlı arka kapı cephaneliğini sürekli olarak güncelleyip genişletiyor; bu sayede ağ protokollerinde eşsiz uygulamalar kullanabiliyor ve veri toplama kapasitesini hedeflenen operasyonlara göre uyarlayabiliyor. Grup, 2017–2020 arasındaki dönemde Güneydoğu Asya ve özellikle Vietnam’ı hedefleyen geniş çaplı siber sızma operasyonlarıyla öne çıktı; 2019’da BMW ve Hyundai gibi firmalara yönelik sızmalar ve Almanya’da bir Vietnamlı muhalife karşı yönelen tehditler dikkat çekti. Ayrıca 2019–2020 arası insan hakları savunucularına yönelik faaliyetler ve 2020’de Wuhan belediye yönetimini hedefleyen casusluk iddiaları da gruba bağlandı.
United States tabanlı Facebook’un OceanLotus için paravan olarak kullanılan şirkete ilişkin içeriği kamuoyuna duyurmasıyla 2020 yılında operasyonlarda belirgin bir darbe yaşandı ve sonrasında medya kapsamı daraldı. İlk kampanya, altyapı ve ulaşım şirketinin yeni tespit edilen güvenlik ihlaline dayanıyor ve 2024 ortasında başladı; Ocak 2026’ya kadar sürdü. İkinci kampanya ise 2025 sonlarında başlayıp Mart 2026’ya kadar devam etti; bu süreçte MetaKit’in güncelleme sunucusunu ele geçiren saldırganlar, meşru güncellemeleri zararlı yüklerle değiştirerek SPECTRALVIPER’ı dağıttılar. Bu olaylar, Vietnam’ın menkul kıymetler reformlarıyla uyumlu iddialar etrafında yer alabilir ve yerli istihbarat ve denetim hedeflerini tetikleyebilir.
Her iki durumda da OceanLotus, hedef sistemlere özgü bir arka kapı olan SPECTRALVIPER’ı kurmayı başardı. Özellikle çalışma zamanına ilişkin adı bozulmadan korunan güvenlik açığı, arka kapının iç mimarisinin yeniden yapılandırılmasına olanak tanıdı. Bu tür geniş çaplı tehditlerin varlığına rağmen ESET, SPECTRALVIPER’a sadece birkaç kullanıcının erişebildiğini bildiriyor; bu da operasyonel hedeflemenin giderek daha seçici olduğuna işaret ediyor.
Genel olarak, mevcut kanıtlar OceanLotus’un operasyonel kalıplarında anlamlı bir değişiklik olabileceğini gösteriyor. 2020’de kurduğu sahte şirket üzerinden yürüttüğü yabancı casusluk faaliyetlerinde daha seçici bir yaklaşım benimsiyor ve iç hedeflere odaklanıyor görünümü mevcut.
Son dönemde Vietnam iç sahnesindeki gelişmeler ile uyumlu olarak, Vietnam hükümetinin yolsuzlukla mücadelede Blazing Furnace programını hızlandırdığı ve güvenlik organlarının bu alanda daha fazla kaynak ayırdığı görülüyor. ESET ise OceanLotus’un bu reformlar bağlamında iç istihbarata ve gözetime yeniden yönelmiş olabileceğini belirtiyor.
OceanLotus, APT32 olarak da bilinen ve Vietnam hükümetinin çıkarlarıyla paralel görülen bir siber casusluk grubudur. Telemetri verileri, grubun en erken 2012’ye kadar uzanan faaliyetlerini gösterirken, hedefleri genelde Çin ve Güneydoğu Asya’yı kapsıyor; geniş çaplı profil oluşturma çalışmalarından Vietnamlı insan hakları aktivistlerine yönelik hedefli saldırılara kadar uzanan bir yelpazeye sahip.
Leave a Reply