Siber güvenlik alanında dünya lideri olan ESET, Vietnam ile kontaklı Gelişmiş Kalıcı Tehdit kümesi (APT) OceanLotus’un, iç maksatları gözetlemek üzere istikamet değiştirdiğini tespit etti.
2024 ortasından Şubat 2026’ya kadar, Vietnam yanlısı APT kümesi OceanLotus, kendine has implantı SPECTRALVIPER ile Vietnamlı bir altyapı ve ulaşım inşaat şirketinin ağını ele geçirdi. Ekim 2025’ten Mart 2026’ya kadar OceanLotus, Vietnam’daki borsa yatırımcıları tarafından yaygın olarak kullanılan bir yazılım platformu olan FireAnt MetaKit’i kullanarak bir tedarik zinciri saldırısı gerçekleştirdi.
Yurt içi amaçlar, bu kümenin operasyonel kalıplarında bir değişimi temsil ediyor. Vietnamlı yetkililer yolsuzluğa karşı büyük bir çaba başlatmışken OceanLotus’un son faaliyetleri Vietnam’ın iç sahnesinde son vakitlerde yaşanan çeşitli gelişmelerle uyumlu görünüyor.
ESET Research’ün 2024–2026 yılları ortasında OceanLotus faaliyetlerini izlemesi, Vietnam kontaklı kümenin dış operasyonlara daha seçici bir yaklaşım benimsediği ve iç casusluğa giderek daha fazla kıymet verdiği için operasyonel odak noktasında bir kayma olduğunu ortaya çıkardı. ESET araştırmacıları, SPECTRALVIPER art kapısını içeren iki farklı kampanya tespit etti: Vietnam’daki borsa yatırımcılarını maksat alan bir tedarik zinciri saldırısı ve Vietnamlı bir altyapı ve ulaşım inşaat şirketine yönelik uzun vadeli bir casusluk operasyonu. Bu değişimin süreksiz bir ayarlama mı yoksa uzun vadeli bir stratejik değişiklik mi olduğu şimdi bilinmeyen; fakat 15 yıllık geçmişi olan bu APT kümesi, agresif taktikler ve araçlarında ustalık sergilemeye devam ediyor. OceanLotus, Windows ve Linux art kapı cephaneliğini daima olarak yenilemesi ve genişletmesiyle biliniyor; çoklukla eşsiz ağ protokolleri uygular yahut bilgi toplama yeteneklerini makul operasyonel maksatlara nazaran uyarlıyor.
2017 ile 2020 yılları ortasında OceanLotus, siber casusluk faaliyetlerini ayrıntılandıran çok sayıda raporun akabinde kamuoyunun büyük ilgisini çekti. Bunlar ortasında 2017–2018 yıllarında Güneydoğu Asya’yı gaye alan büyük ölçekli watering-hole taarruzları, 2019’da BMW ve Hyundai üzere şirketlere yapılan sızmalar ve birebir yıl Almanya’daki bir Vietnamlı muhalifin maksat alınması yer alıyordu. Küme ayrıyeten 2019 ile 2020 yılları ortasında insan hakları savunucularına yönelik operasyonlarla ve 2020’de Wuhan belediye idaresini amaç alan casusluk faaliyetleriyle de ilişkiliydi. Fakat Facebook’un OceanLotus’un paravanı olarak kullanıldığına inanılan şirketi kamuoyuna ifşa etmesiyle kümenin operasyonları 2020’de bir darbe aldı. Bu ifşanın akabinde, küme hakkında kamuoyuna yansıyan haberler değerli ölçüde azaldı ve faaliyetleri birkaç yıl boyunca nispeten az ilgi gördü.
İlk kampanya, bir altyapı ve ulaşım inşaat şirketinin yeni keşfedilen güvenlik ihlaliyle ilgiliydi. Bu hücum 2024 ortasında başladı ve Ocak 2026’ya kadar devam etti. İkinci kampanya ise 2025 sonlarında başlayan ve Mart 2026’ya kadar süren bir tedarik zinciri atağıydı. Bu operasyonda OceanLotus, Vietnamlı bir pay senedi yatırım platformu olan FireAnt MetaKit’in güncelleme sunucusunu ele geçirdi ve yasal yazılım güncellemelerini, nihayetinde SPECTRALVIPER’ı dağıtan makûs hedefli bir yük ile değiştirdi. Bu kampanya, pay senedi yatırımcılarını maksat almış üzere görünüyor ve Vietnam’ın menkul değerler piyasası ıslahatlarını teşvik etmeye yönelik son uğraşlarıyla temaslı olabilir; bu da yurt içi izleme yahut soruşturma amaçlarıyla muhtemel bir irtibat olduğunu düşündürüyor.
Her iki durumda da OceanLotus, kurbanların sistemlerine kendine mahsus art kapısı olan SPECTRALVIPER’ı yerleştirdi. Bilhassa bir operasyonel güvenlik açığı, SPECTRALVIPER örneğinde çalışma vakti tipi bilgi isimlerinin bozulmadan kalmasına neden oldu ve bu da art kapının iç mimarisinin kimi istikametlerini tekrar oluşturulmasını sağladı. Bu cins bir hücumun geniş potansiyel tesirine karşın ESET nihayetinde SPECTRALVIPER’ı alan yalnızca birkaç kişi gözlemledi; bu da seçici bir hedefleme olduğunu gösteriyor. Genel olarak, mevcut deliller OceanLotus’un operasyonel kalıplarında potansiyel bir değişime işaret ediyor. 2020 yılında fizikî paravan şirketinin ortaya çıkmasından bu yana, küme yabancı casusluk faaliyetlerinde daha seçici bir yaklaşım benimsemiş ve iç maksatlara giderek daha fazla tartı vermiş görünüyor.
OceanLotus’un son faaliyetlerinin, Vietnam’ın iç sahnesinde son vakitlerde yaşanan çeşitli gelişmelerle uyumlu olduğu dikkat alımlı. Son yıllarda Vietnamlı yetkililer, Blazing Furnace ismini verdikleri bir programla yolsuzluğa karşı büyük bir uğraş başlattı. Bu bağlamda, Vietnam’ın güvenlik aygıtının yolsuzlukla (ve daha geniş manada finansal suçlarla) uğraş etmek için giderek daha değerli kaynaklar ayırdığı görülmektedir. ESET, OceanLotus’un bu gayretlerle bir formda bağlantılı olabileceğine ve bunun, kümenin iç istihbarat ve nezarete yine odaklanmasının arkasındaki bir diğer neden olabileceğine inanıyor.
APT32 olarak da bilinen OceanLotus, Vietnam hükümetinin çıkarlarıyla uyumlu olduğu bildirilen bir siber casusluk kümesi. ESET telemetrisine nazaran, bu kümeye atfedilen faaliyetler 2012 yılına ve muhtemelen daha öncesine kadar uzanıyor. OceanLotus, temel olarak Çin ve Güneydoğu Asya’yı (özellikle Vietnam’ı) maksat alıyor; büyük çaplı dijital profil oluşturma kampanyalarından Vietnamlı insan hakları aktivistlerine yönelik son derece maksatlı taarruzlara kadar çeşitli operasyonlarla ilişkilendiriliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
