悪名高いベトナム関連の脅威アクター**OceanLotus**は、その活動の焦点を国内企業への標的強化へとシフトさせていると報告されています。**ESET**の研究によると、同グループは高度な**SPECTRALVIPER**バックドアを利用した2つの異なるキャンペーンの背後にいます。 これらのキャンペーンには、2024年半ばから2026年2月にかけて行われたベトナムのインフラ・運輸建設企業に対する長期的なサイバースパイ活動が含まれます。同時に、**OceanLotus**は2025年10月から2026年3月にかけて、ベトナムの株式投資家の間で広く利用されているソフトウェアプラットフォーム**FireAnt Metakit**を侵害するサプライチェーン攻撃を実行しました。 ### 標的設定における戦略的シフト これは、2012年の発足以来、中国を含む外部の標的を主に狙ってきた**OceanLotus**の活動様式における顕著な変化を示しています。**ESET**は、「このシフトが一時的な調整なのか、長期的な戦略的変更なのかは不明ですが、この15年の歴史を持つAPTグループは、攻撃的な戦術と巧妙なツールを引き続き示しています」と述べています。 過去の**OceanLotus**の活動には、東南アジアのメディア、人権、市民社会に関連する個人や組織をプロファイリングするためのウォーターホール攻撃が含まれていました。同グループは、ベトナムの人権擁護者や反体制派も特に標的にしていました。 2020年12月、**Meta**は**OceanLotus**の活動をベトナムのIT企業**CyberOne Group**と公に結びつけました。**CyberOne Group**は疑惑を否定しましたが、この暴露により、脅威グループの活動はほぼ3年間低下しました。 ### **OceanLotus**の進化するツールセット **OceanLotus**の武器庫は、**SOUNDBITE**（別名**Denis**）、**PHOREAL**（別名**Rizzo**）、**WINDSHIELD**（別名**Remy**）などのツールを含め、時間とともに進化してきました。より最近では、同グループは**Elastic Security Labs**が2023年6月に初めて文書化した**SPECTRALVIPER**を採用し、ベトナムの公開企業を標的としたキャンペーンで使用しました。  同グループの継続的な進化のさらなる証拠は、先月**Kaspersky**が**Python Package Index (PyPI)**リポジトリで3つの悪意のあるパッケージを特定した際に示されました。これらのパッケージは新しいマルウェアファミリー**ZiChatBot**を配信し、そのドロッパーは**OceanLotus**が以前使用していたドロッパーと「64%の類似性」を共有していました。 ### **FireAnt Metakit**サプライチェーン攻撃 **ESET**による**FireAnt Metakit**サプライチェーン攻撃の調査によると、この攻撃は2025年10月初旬から2026年3月にかけて実行されました。攻撃者はソフトウェアの正規のアップデートURLを悪用し、株式投資家のごく一部に**SPECTRALVIPER**を選択的に配布しました。 脆弱性は、**FireAnt**のアップデート設定ファイル（"metakit.fireant[.]vn/Software/version.xml"）にあり、アップデートバイナリ（"setup.exe"）の整合性検証が欠如していました。これにより、悪意のあるダウンローダーが正規のアップデートとして実行されることが可能になりました。 **ESET**は、「署名検証の欠如により、Metakit.exeは悪意のあるダウンローダーを正規のアップデートとして実行しました。起動後、ダウンローダーは基本的なホスト偵察を実行し、収集した情報をHTTP POSTリクエスト経由でステージングサーバーに送信し、次のステージのペイロードを要求しました」と説明しています。  後続のペイロードはDLLサイドローディングチェーンを開始し、正規のバイナリを使用して不正なDLL（**DtlCrashCatch.dll**）を起動しました。このDLLは**OneDrive.Sync.Service.exe**プロセスに自身を注入し、**SPECTRALVIPER**の実行をトリガーしました。バックドアはコマンド＆コントロール（C2）サーバー（"financemachinelearning[.]com"）と通信し、暗号化されたホスト情報を流出させました。 2026年3月9日以降、侵害されたチャネルを通じてそれ以上の悪意のあるアップデートは観測されておらず、この特定のキャンペーンの終了が示唆されています。 ### ベトナムの運輸建設企業への標的化 別途、**OceanLotus**は、名称不明のベトナムのインフラ・運輸建設企業を標的としたキャンペーンに関与しています。この活動は2024年11月には開始されており、脅威アクターは2026年2月まで秘密裏にアクセスを維持していました。初期アクセスベクトルは確認されていませんが、公開されている**Microsoft SQL server**のリモートコード実行脆弱性の悪用が疑われています。 **FireAnt**攻撃と同様に、このキャンペーンでもDLLサイドローディングを介して**SPECTRALVIPER**バックドアが展開されました。**ESET**は、ネットワーク内の複数の侵害されたホストにわたる3つの異なるバリアントを特定しました。このマルウェアはC2サーバー（"gatewayrvcenter[.]com"）と通信し、ホストプロファイリングデータを送信し、さらなる指示を受け取りました。 **SPECTRALVIPER**はまた、ラテラルムーブメントの能力を示し、C2サーバーから取得した追加のバイナリまたはシェルコードをターゲットプロセスに注入するローダーとしても機能しました。 **ESET**は、「全体として、利用可能な証拠は**OceanLotus**の運用パターンにおける潜在的なシフトを示唆しています。2020年に物理的なフロント企業が暴露されて以来、同グループは外国のスパイ活動に対してより選択的なアプローチを採用し、国内の標的に対する重点を高めているようです」と結論付けています。