OceanLotus Vietnam’da iç hedeflere yöneldi: SPECTRALVIPER uyarısı
ESET, Vietnam bağlantılı OceanLotus grubunun SPECTRALVIPER arka kapısıyla iç hedeflere yöneldiğini ve tedarik zinciri saldırısı düzenlediğini açıkladı.
Editor2
Ahmet Taş | Şehitler Ölmez
ANKARA, TÜRKİYE — ESET, Vietnam bağlantılı OceanLotus siber casusluk grubunun son kampanyalarında dış hedeflerden çok Vietnam içindeki altyapı, ulaşım ve finans bağlantılı hedeflere yöneldiğini açıkladı.
Siber güvenlik şirketi ESET’in 2024-2026 dönemine ilişkin araştırmasına göre, APT32 olarak da bilinen OceanLotus, kendine özgü SPECTRALVIPER arka kapısını kullanarak Vietnam’daki bir altyapı ve ulaşım inşaat şirketinin ağına sızdı. Grup ayrıca Vietnamlı borsa yatırımcıları tarafından kullanılan FireAnt MetaKit yazılım platformu üzerinden tedarik zinciri saldırısı düzenledi.
OceanLotus’un odağında iç hedefler var
ESET Research’ün izlediği son faaliyetler, OceanLotus’un operasyonel odağında dikkat çekici bir değişime işaret ediyor. Vietnam hükümetinin çıkarlarıyla uyumlu olduğu bildirilen grubun, önceki yıllarda daha çok dış hedefler ve bölgesel casusluk operasyonlarıyla gündeme geldiği biliniyordu.
Ancak ESET’in bulgularına göre grup, 2024 ortasından Şubat 2026’ya kadar Vietnamlı bir altyapı ve ulaşım inşaat şirketinin ağında faaliyet gösterdi. Bu operasyonun uzun süreli bir casusluk faaliyeti olduğu değerlendiriliyor.
Ekim 2025 ile Mart 2026 arasında ise OceanLotus’un FireAnt MetaKit adlı yazılım platformunu kullanan Vietnamlı borsa yatırımcılarını hedef aldığı tespit edildi. Bu kampanya, meşru yazılım güncellemelerinin kötü amaçlı yüklerle değiştirilmesi yoluyla gerçekleştirilen bir tedarik zinciri saldırısı olarak tanımlandı.
SPECTRALVIPER arka kapısı iki kampanyada kullanıldı
ESET araştırmacıları, iki ayrı kampanyada OceanLotus’un SPECTRALVIPER adlı arka kapıyı kullandığını belirledi. İlk kampanya, Vietnam’daki altyapı ve ulaşım inşaat şirketine yönelik uzun süreli sızma operasyonuydu.
İkinci kampanyada ise grup, FireAnt MetaKit’in güncelleme sunucusunu ele geçirdi. Böylece kullanıcıların meşru yazılım güncellemeleri üzerinden kötü amaçlı yük alması sağlandı. Bu yüklerin sonunda SPECTRALVIPER’ın hedef sistemlere yerleştirildiği bildirildi.
Tedarik zinciri saldırıları, siber güvenlik açısından en tehlikeli yöntemlerden biri kabul ediliyor. Çünkü kullanıcılar çoğu zaman güvendikleri bir yazılımın resmi güncellemesini yüklediklerini düşünürken, arka planda kötü amaçlı kod sistemlerine girebiliyor.
ESET, bu saldırının geniş etki potansiyeline rağmen SPECTRALVIPER’ı alan az sayıda kişi gözlemlediğini belirtti. Bu durum, saldırının geniş çaplı rastgele dağıtımdan çok seçici hedefleme amacı taşıdığına işaret ediyor.
FireAnt MetaKit üzerinden tedarik zinciri saldırısı
FireAnt MetaKit, Vietnam’daki borsa yatırımcıları tarafından kullanılan bir yazılım platformu olarak biliniyor. OceanLotus’un bu platformun güncelleme mekanizmasını hedef alması, saldırının finansal piyasa aktörlerine ve yatırımcı çevrelerine yönelik istihbarat toplama amacı taşıyabileceği değerlendirmelerine yol açtı.
ESET’in analizine göre bu kampanya, Vietnam’ın menkul kıymetler piyasası reformlarını teşvik etmeye yönelik son çabalarıyla aynı döneme denk geldi. Bu nedenle operasyonun, yurt içi izleme veya soruşturma hedefleriyle bağlantılı olabileceği değerlendiriliyor.
Bu noktada ESET, mevcut bulguların OceanLotus’un iç istihbarat ve gözetim faaliyetlerine daha fazla ağırlık verdiğini gösterdiğini belirtiyor. Ancak bunun geçici bir yön değişikliği mi yoksa uzun vadeli stratejik bir dönüşüm mü olduğu henüz net değil.
Altyapı ve ulaşım şirketinde uzun süreli sızma
ESET’in ortaya çıkardığı ilk kampanya, Vietnam’daki bir altyapı ve ulaşım inşaat şirketinin güvenlik ihlaliyle bağlantılıydı. Saldırının 2024 ortasında başladığı ve Ocak 2026’ya kadar sürdüğü belirtildi.
Altyapı ve ulaşım sektörleri, devlet kapasitesi, ekonomik planlama, kamu ihaleleri ve stratejik projelerle doğrudan bağlantılı olduğu için siber casusluk gruplarının ilgi alanında yer alıyor. Bu tür şirketlere yönelik sızmalar, yalnızca ticari verilerin değil; devlet projeleri, ulaşım ağları, kritik altyapı planları ve finansal süreçlerin de hedef alınabileceği anlamına geliyor.
OceanLotus’un bu kampanyada da SPECTRALVIPER arka kapısını kullandığı bildirildi. ESET, bir operasyonel güvenlik açığının arka kapının bazı iç mimari detaylarını analiz etmeyi mümkün kıldığını belirtti.
Vietnam’daki iç gelişmelerle zamanlama dikkat çekiyor
ESET, OceanLotus’un son faaliyetlerinin Vietnam’daki iç gelişmelerle uyumlu göründüğünü vurguluyor. Son yıllarda Vietnamlı yetkililer, “Blazing Furnace” adı verilen programla yolsuzluğa karşı büyük çaplı bir mücadele başlattı.
Bu çerçevede güvenlik kurumlarının yolsuzluk ve daha geniş anlamda finansal suçlarla mücadeleye daha fazla kaynak ayırdığı değerlendiriliyor. ESET, OceanLotus’un son faaliyetlerinin bu çabalarla bir şekilde ilişkili olabileceğini ve grubun iç gözetim faaliyetlerine yeniden odaklanmasının nedenlerinden birinin bu olabileceğini belirtiyor.
Bu değerlendirme, OceanLotus’un yalnızca dış istihbarat operasyonlarında değil, Vietnam içindeki ekonomik ve siyasi süreçleri izlemeye yönelik siber operasyonlarda da kullanılabileceği ihtimalini güçlendiriyor.
OceanLotus’un geçmiş operasyonları
APT32 olarak da bilinen OceanLotus, uzun süredir siber güvenlik araştırmacılarının izlediği bir tehdit grubu. ESET telemetrisine göre gruba atfedilen faaliyetler 2012 yılına, hatta muhtemelen daha eski tarihlere uzanıyor.
Grup geçmişte Çin ve Güneydoğu Asya başta olmak üzere birçok hedefle ilişkilendirildi. 2017-2018 döneminde Güneydoğu Asya’yı hedef alan büyük ölçekli watering-hole saldırıları, 2019’da BMW ve Hyundai gibi şirketlere yönelik sızmalar ve Almanya’daki Vietnamlı bir muhalifin hedef alınması bu faaliyetler arasında sayıldı.
OceanLotus ayrıca 2019-2020 döneminde insan hakları savunucularına yönelik operasyonlarla ve 2020’de Wuhan belediye yönetimini hedef alan casusluk faaliyetleriyle de gündeme geldi.
Facebook’un 2020 yılında OceanLotus’un paravanı olarak kullanıldığına inanılan bir şirketi kamuoyuna açıklaması, grubun operasyonları açısından önemli bir kırılma noktası oldu. Bu ifşanın ardından OceanLotus hakkında kamuoyuna yansıyan haberlerin azaldığı ve grubun birkaç yıl boyunca daha düşük görünürlükle faaliyet yürüttüğü belirtildi.
APT grupları için tedarik zinciri saldırıları kritik risk
OceanLotus’un FireAnt MetaKit üzerinden yürüttüğü tedarik zinciri saldırısı, kurumlar ve bireysel kullanıcılar için önemli bir uyarı niteliği taşıyor. Meşru yazılım güncellemelerinin ele geçirilmesi, güvenilir görünen kanallar üzerinden casus yazılım dağıtılmasına imkân verebiliyor.
Bu tür saldırılara karşı kurumların yalnızca uç nokta güvenliği değil, yazılım tedarik süreçlerini, güncelleme mekanizmalarını, imza kontrollerini ve ağ davranışlarını da izlemesi gerekiyor.
ESET’in bulguları, OceanLotus’un araçlarını ve taktiklerini güncellemeye devam ettiğini gösteriyor. Grup, Windows ve Linux arka kapı cephaneliğini genişletmesi, benzersiz ağ protokolleri kullanması ve veri toplama yeteneklerini operasyonel hedeflere göre uyarlamasıyla biliniyor.
Mevcut tablo, OceanLotus’un iç hedeflere daha fazla yöneldiğini, SPECTRALVIPER gibi özel araçlarla seçici operasyonlar yürüttüğünü ve tedarik zinciri saldırılarını etkin biçimde kullanmaya devam ettiğini ortaya koyuyor.
Bu nedenle ESET’in raporu, yalnızca Vietnam’daki kurumlar için değil, yazılım güncellemelerine ve tedarik zinciri güvenliğine bağımlı tüm kuruluşlar için dikkate alınması gereken bir siber güvenlik uyarısı niteliği taşıyor.
