OceanLotus và sự dịch chuyển chiến lược đáng chú ý trong không gian mạng Việt Nam
Tổng quan chiến dịch
Trong nhiều năm, OceanLotus (APT32) được biết đến là một trong những nhóm gián điệp mạng nổi bật nhất khu vực Đông Nam Á, thường xuyên xuất hiện trong các báo cáo về hoạt động thu thập thông tin tình báo nhằm vào các tổ chức và doanh nghiệp nước ngoài. Tuy nhiên, những phát hiện mới nhất từ ESET cho thấy một sự thay đổi đáng chú ý trong chiến lược hoạt động của nhóm này. Thay vì tập trung vào các mục tiêu quốc tế như trước đây, OceanLotus đang có xu hướng chuyển trọng tâm sang các mục tiêu trong nước, đặc biệt trong lĩnh vực tài chính và hạ tầng trọng yếu.
Thông qua các chiến dịch tấn công chuỗi cung ứng và việc triển khai backdoor SPECTRALVIPER, nhóm đã thể hiện khả năng lựa chọn mục tiêu chính xác, duy trì hiện diện dài hạn và thu thập thông tin có giá trị chiến lược. Những diễn biến này không chỉ phản ánh sự thay đổi trong cách thức hoạt động của OceanLotus mà còn đặt ra những thách thức mới đối với an ninh mạng tại Việt Nam.
OceanLotus (APT32) là ai?
OceanLotus là ai?
OceanLotus, còn được biết đến với các định danh APT32, SeaLotus hoặc Cobalt Kitty, là một nhóm tấn công có chủ đích (Advanced Persistent Threat – APT) được cộng đồng an ninh mạng quốc tế theo dõi từ khoảng năm 2012. Trong hơn một thập kỷ hoạt động, nhóm này đã trở thành một trong những tác nhân đe dọa nổi bật nhất tại khu vực Đông Nam Á nhờ khả năng tiến hành các chiến dịch gián điệp mạng kéo dài, tinh vi và có chủ đích cao.
Lịch sử hoạt động
Các dấu vết đầu tiên của OceanLotus được ghi nhận vào đầu những năm 2010, khi nhiều tổ chức trong khu vực Đông Nam Á trở thành mục tiêu của các chiến dịch spear-phishing và malware tùy biến. Từ năm 2014 trở đi, hoạt động của nhóm ngày càng được mở rộng cả về quy mô lẫn phạm vi địa lý, nhắm tới các cơ quan chính phủ, doanh nghiệp tư nhân, tổ chức nghiên cứu, truyền thông và các cá nhân có giá trị tình báo cao.
Trong giai đoạn 2016–2020, OceanLotus liên tục xuất hiện trong các báo cáo của nhiều hãng bảo mật lớn như ESET, FireEye, CrowdStrike, Kaspersky, Volexity và Cybereason. Các chiến dịch được ghi nhận trải rộng trên nhiều quốc gia tại châu Á, Bắc Mỹ và châu Âu, với mục tiêu chủ yếu là thu thập thông tin tình báo chính trị, kinh tế và chiến lược.
Sau năm 2020, hoạt động công khai của nhóm giảm đáng kể. Tuy nhiên, các nghiên cứu gần đây cho thấy OceanLotus không hề suy giảm năng lực mà đang chuyển sang mô hình hoạt động kín đáo hơn, lựa chọn mục tiêu cẩn thận hơn và tập trung vào các chiến dịch mang lại giá trị tình báo cao.
Mục tiêu và động cơ
Khác với các nhóm tội phạm mạng thông thường thường hướng tới lợi nhuận tài chính trực tiếp, OceanLotus được đánh giá là một nhóm hoạt động theo mô hình gián điệp mạng (Cyber Espionage). Mục tiêu chính của các chiến dịch là thu thập thông tin từ các tổ chức hoặc cá nhân có giá trị chiến lược.
Các lĩnh vực từng bị nhóm nhắm tới bao gồm:
Cơ quan chính phủ và ngoại giao.
Doanh nghiệp công nghệ.
Năng lượng và viễn thông.
Hạ tầng trọng yếu.
Tài chính và đầu tư.
Tổ chức nghiên cứu và học thuật.
Truyền thông và báo chí.
Kỹ thuật và phương thức hoạt động
Một trong những điểm nổi bật của OceanLotus là khả năng kết hợp nhiều kỹ thuật tấn công khác nhau trong cùng một chiến dịch nhằm tăng tỷ lệ thành công và kéo dài thời gian hiện diện trên hệ thống nạn nhân.
Các kỹ thuật thường được nhóm sử dụng gồm:
Spear-Phishing: OceanLotus thường sử dụng email được thiết kế riêng cho từng mục tiêu, đính kèm tài liệu hoặc liên kết chứa mã độc. Nội dung email thường liên quan trực tiếp đến lĩnh vực hoạt động của nạn nhân nhằm tăng khả năng tương tác.
Watering Hole Attack: Nhóm từng nhiều lần xâm nhập các website mà mục tiêu thường xuyên truy cập, sau đó chèn mã độc hoặc chuyển hướng người dùng tới hạ tầng kiểm soát của kẻ tấn công.
Supply Chain Attack: Đây là kỹ thuật nổi bật trong các chiến dịch gần đây. Thay vì tấn công trực tiếp nạn nhân, OceanLotus xâm nhập nhà cung cấp phần mềm hoặc dịch vụ trung gian để phát tán mã độc thông qua các kênh cập nhật hợp pháp. Chiến dịch FireAnt MetaKit là một ví dụ điển hình cho phương thức này.
Living-off-the-Land: OceanLotus thường tận dụng các công cụ hợp pháp có sẵn trên hệ điều hành nhằm giảm khả năng bị phát hiện. Cách tiếp cận này giúp các hoạt động của nhóm hòa lẫn với lưu lượng và tiến trình bình thường của hệ thống.
Timeline sự kiện
| Thời gian | Sự kiện | Ý nghĩa |
|---|---|---|
| 2020 | Nhiều báo cáo công khai từ các hãng bảo mật và nền tảng mạng xã hội hé lộ hạ tầng, công cụ và các hoạt động liên quan đến OceanLotus | Đánh dấu giai đoạn nhóm bị chú ý nhiều hơn trên phạm vi quốc tế |
| 2020–2023 | Hoạt động công khai của OceanLotus giảm đáng kể | Nhóm chuyển sang hoạt động kín đáo hơn, hạn chế để lộ hạ tầng và công cụ |
| Giữa năm 2024 | ESET ghi nhận chiến dịch xâm nhập kéo dài nhằm vào một doanh nghiệp hoạt động trong lĩnh vực xây dựng hạ tầng và giao thông tại Việt Nam | Cho thấy sự chuyển dịch sang các mục tiêu chiến lược trong nước |
| Nửa cuối năm 2024 | SPECTRALVIPER được triển khai trong các hoạt động duy trì truy cập và thu thập dữ liệu | Xuất hiện thế hệ backdoor mới đóng vai trò trung tâm trong chiến dịch |
| Đầu năm 2025 | Hoạt động giám sát và thu thập thông tin tiếp tục được duy trì trên các hệ thống đã bị xâm nhập | Thể hiện đặc trưng của một chiến dịch APT dài hạn |
| Tháng 10/2025 | Máy chủ cập nhật của FireAnt MetaKit bị xâm nhập | Bắt đầu chiến dịch Supply Chain Attack nhắm vào cộng đồng nhà đầu tư |
| 10/2025 – 03/2026 | Các bản cập nhật hợp pháp chứa thành phần độc hại được phân phối tới người dùng FireAnt MetaKit | Kẻ tấn công lợi dụng lòng tin đối với phần mềm hợp pháp để tiếp cận mục tiêu |
| Cuối năm 2025 | Loader độc hại được sử dụng để triển khai SPECTRALVIPER trên các hệ thống được lựa chọn | Chỉ một số mục tiêu giá trị cao được kích hoạt giai đoạn tiếp theo |
| Đầu năm 2026 | OceanLotus duy trì kết nối với các máy chủ C2 và tiến hành thu thập dữ liệu từ các nạn nhân được chọn lọc | Giai đoạn khai thác và tình báo chính của chiến dịch |
| Tháng 03/2026 | Chiến dịch FireAnt MetaKit được xác định kết thúc hoặc thay đổi hạ tầng hoạt động | Dấu hiệu cho thấy OceanLotus thay đổi phương thức hoặc chuyển sang hạ tầng mới |
| Tháng 06/2026 | ESET công bố báo cáo "OceanLotus: External Espionage to Domestic Targeting" | Lần đầu tiên mô tả chi tiết xu hướng OceanLotus tập trung vào các mục tiêu trong nước |
Chiến dịch FireAnt MetaKit và SPECTRALVIPER
Phương thức tấn công và hệ sinh thái mã độc
Khác với nhiều chiến dịch phát tán mã độc đại trà, OceanLotus áp dụng chiến lược "xâm nhập có chọn lọc" (Selective Targeting). Thay vì lây nhiễm càng nhiều nạn nhân càng tốt, nhóm tập trung vào những cá nhân hoặc tổ chức được xác định trước là có giá trị tình báo cao.
Trong chiến dịch được ESET ghi nhận, FireAnt MetaKit đóng vai trò là điểm xâm nhập ban đầu. Đây là một nền tảng được sử dụng rộng rãi bởi cộng đồng nhà đầu tư chứng khoán tại Việt Nam. Bằng cách xâm nhập máy chủ cập nhật của phần mềm, OceanLotus có thể phân phối mã độc thông qua các bản cập nhật hợp pháp mà không làm dấy lên nghi ngờ từ phía người dùng.
Điểm đáng chú ý là malware không được triển khai ngay lập tức trên mọi hệ thống nhận bản cập nhật. Thay vào đó, các thành phần trung gian sẽ tiến hành đánh giá môi trường mục tiêu trước khi kích hoạt các giai đoạn tiếp theo. Đây là dấu hiệu cho thấy OceanLotus đang áp dụng chiến lược giảm thiểu khả năng bị phát hiện và tối ưu hóa nguồn lực cho các mục tiêu thực sự có giá trị.
Triển khai SPECTRALVIPER
Sau khi quá trình xâm nhập ban đầu thành công, OceanLotus triển khai SPECTRALVIPER – backdoor được xác định là thành phần trung tâm của chiến dịch.
Theo ESET, SPECTRALVIPER không phải là một malware đơn lẻ mà là một nền tảng gián điệp được thiết kế theo kiến trúc mô-đun. Cách tiếp cận này cho phép nhóm tấn công linh hoạt mở rộng chức năng theo từng mục tiêu cụ thể mà không cần thay đổi toàn bộ bộ công cụ.
Bước 1 – Loader được kích hoạt
Sau khi bản cập nhật độc hại được cài đặt tại đường dẫn: http://metakit.fireant.vn/Software/version.xml , loader sẽ được thực thi trên hệ thống nạn nhân.
Chức năng chính:
Kiểm tra môi trường thực thi.
Xác định hệ điều hành.
Thu thập thông tin ban đầu.
Đánh giá giá trị mục tiêu.
Chuẩn bị tải malware chính.
Bước 02 – Thu thập thông tin hệ thống
Trước khi kích hoạt đầy đủ backdoor, malware thực hiện các hoạt động reconnaissance nhằm hiểu rõ môi trường mục tiêu.
Các dữ liệu được thu thập gồm:
Tên máy tính.
Tài khoản người dùng.
Phiên bản Windows.
Thông tin miền (Domain).
Địa chỉ IP.
Các tiến trình đang hoạt động.
Danh sách phần mềm bảo mật.
Mục đích của giai đoạn này là xác định xem hệ thống có thuộc nhóm mục tiêu mong muốn hay không.
Bước 3 – Đăng ký với máy chủ điều khiển
Sau khi hoàn tất profiling, SPECTRALVIPER thiết lập liên lạc với hạ tầng Command and Control (C2).
Các kết nối được thực hiện thông qua:
HTTP/HTTPS.
Kênh truyền mã hóa.
Beacon định kỳ.
Mục đích:
Nhận lệnh từ toán tử.
Tải module mới.
Gửi dữ liệu thu thập.
Leo thang truy cập và khai thác mục tiêu
Khảo sát môi trường nội bộ
Sau khi thiết lập được chỗ đứng trên hệ thống, OceanLotus chuyển sang giai đoạn khai thác thông tin. Đây là giai đoạn dài nhất của chiến dịch và cũng là mục tiêu cuối cùng của toàn bộ chuỗi tấn công.
Backdoor tiến hành thu thập thông tin về:
Hệ thống tập tin.
Máy chủ nội bộ.
Chia sẻ mạng.
Tài nguyên dùng chung.
Người dùng trong miền.
Những hoạt động này giúp toán tử hiểu được cấu trúc hạ tầng của tổ chức bị xâm nhập.
Duy trì truy cập dài hạn
Một đặc điểm nổi bật của OceanLotus là khả năng duy trì hiện diện trong thời gian dài.
Nhóm sử dụng nhiều kỹ thuật persistence như:
Registry Run Keys.
Scheduled Tasks.
Startup Components.
Tái kết nối định kỳ tới C2.
Nhờ đó, malware vẫn tồn tại ngay cả khi hệ thống được khởi động lại.
Thu thập và trích xuất dữ liệu
Sau khi hoàn tất quá trình khảo sát, OceanLotus bắt đầu thu thập các dữ liệu có giá trị.
Đối với nhà đầu tư:
Thông tin giao dịch.
Dữ liệu tài chính.
Hồ sơ khách hàng.
Danh mục đầu tư.
Đối với doanh nghiệp hạ tầng:
Hồ sơ dự án.
Tài liệu kỹ thuật.
Kế hoạch đầu tư.
Thông tin đấu thầu.
Dữ liệu sau đó được gửi về hạ tầng điều khiển thông qua các kết nối được mã hóa nhằm giảm khả năng bị phát hiện.
Vì sao OceanLotus chuyển sang mục tiêu trong nước?
Một trong những câu hỏi lớn nhất đặt ra là lý do đằng sau sự thay đổi chiến lược này. Dưới đây là một số giả thuyết được đưa ra:
Thu thập tình báo kinh tế: Thông tin về thị trường tài chính, hoạt động đầu tư và các dự án hạ tầng có giá trị chiến lược rất lớn.
Mục tiêu có giá trị cao: Các doanh nghiệp hạ tầng và nền tảng đầu tư thường lưu trữ lượng lớn dữ liệu nhạy cảm.
Chiến dịch chọn lọc hơn: Thay vì nhắm tới số lượng lớn nạn nhân, nhóm tập trung vào những mục tiêu có khả năng mang lại thông tin quan trọng nhất.
Giảm khả năng bị chú ý quốc tế: Hoạt động trong phạm vi hẹp hơn giúp giảm nguy cơ bị các tổ chức quốc tế theo dõi và công khai.
Tác động đối với an ninh mạng Việt Nam
Những phát hiện mới cho thấy các tổ chức trong nước không còn là đối tượng thứ yếu trong các chiến dịch APT. Thay vào đó các doanh nghiệp cần đặc biệt lưu ý đến rủi ro từ chuỗi cung ứng phần mềm, nguy cơ xâm nhập kéo dài, khả năng bị thu thập dữ liệu chiến lược cũng như việc phần mềm hợp pháp bị lợi dụng làm kênh phát tán mã độc.
Đối với các trung tâm SOC và đội ngũ Blue Team, việc tăng cường threat hunting, giám sát lưu lượng bất thường và kiểm tra tính toàn vẹn của phần mềm là những biện pháp cần thiết.
Kết luận
Những phát hiện mới của ESET cho thấy OceanLotus đang bước vào một giai đoạn hoạt động mới với trọng tâm là các mục tiêu trong nước. Việc sử dụng các cuộc tấn công chuỗi cung ứng cùng backdoor SPECTRALVIPER phản ánh mức độ tinh vi cao và khả năng triển khai các chiến dịch gián điệp kéo dài của nhóm.
Dù mục tiêu cuối cùng của các chiến dịch này chưa được xác định đầy đủ, xu hướng tập trung vào lĩnh vực tài chính và hạ tầng cho thấy hoạt động tình báo kinh tế có thể đang trở thành ưu tiên mới. Trong bối cảnh các mối đe dọa APT ngày càng tinh vi và khó phát hiện, những phát hiện từ ESET là lời cảnh báo quan trọng đối với cộng đồng an ninh mạng và các tổ chức tại Việt Nam.
Khuyến nghị
Đối với người dùng cá nhân
Chỉ tải và cập nhật phần mềm từ nguồn chính thức.
Thường xuyên cập nhật hệ điều hành và phần mềm bảo mật.
Thận trọng với email, tệp đính kèm hoặc liên kết không rõ nguồn gốc.
Báo cáo ngay cho bộ phận kỹ thuật khi phát hiện dấu hiệu bất thường trên thiết bị.
Đối với doanh nghiệp và tổ chức
Tăng cường kiểm tra, đánh giá an ninh đối với các nhà cung cấp phần mềm và dịch vụ CNTT.
Triển khai xác thực đa yếu tố (MFA) cho các hệ thống quan trọng.
Theo dõi và giám sát các kết nối mạng bất thường, đặc biệt là lưu lượng ra ngoài Internet.
Thường xuyên cập nhật IOC và thông tin tình báo mối đe dọa từ các nguồn uy tín.
Xây dựng quy trình ứng phó sự cố và diễn tập định kỳ nhằm sẵn sàng xử lý các cuộc tấn công có chủ đích.
Trong bối cảnh các nhóm APT ngày càng sử dụng kỹ thuật tinh vi và khó phát hiện, việc kết hợp giữa nhận thức an toàn thông tin, giám sát liên tục và quản lý rủi ro chuỗi cung ứng sẽ là yếu tố quan trọng giúp giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch tương tự OceanLotus.
MITRE ATT&CK Mapping
| ATT&CK Tactic | Technique | ATT&CK ID | Mô tả |
|---|---|---|---|
| Initial Access | Supply Chain Compromise | T1195 | Xâm nhập chuỗi cung ứng thông qua phần mềm FireAnt MetaKit |
| Initial Access | Spearphishing Attachment | T1566.001 | Sử dụng tài liệu hoặc tệp đính kèm độc hại để lây nhiễm ban đầu |
| Execution | User Execution | T1204 | Mã độc được kích hoạt thông qua hành động của người dùng hoặc tiến trình hợp pháp |
| Execution | Command and Scripting Interpreter | T1059 | Thực thi các lệnh hoặc script trên hệ thống nạn nhân |
| Persistence | Registry Run Keys / Startup Folder | T1547.001 | Thiết lập cơ chế khởi động cùng hệ điều hành |
| Persistence | Scheduled Task/Job | T1053.005 | Tạo tác vụ định kỳ nhằm duy trì quyền truy cập |
| Privilege Escalation | Scheduled Task | T1053.005 | Lợi dụng tác vụ hệ thống để thực thi với quyền cao hơn |
| Defense Evasion | Obfuscated Files or Information | T1027 | Mã hóa hoặc làm rối mã nhằm tránh bị phát hiện |
| Defense Evasion | Masquerading | T1036 | Ngụy trang thành tệp hoặc tiến trình hợp pháp |
| Defense Evasion | Indicator Removal on Host | T1070 | Xóa hoặc làm thay đổi dấu vết trên hệ thống |
| Discovery | System Information Discovery | T1082 | Thu thập thông tin hệ điều hành và cấu hình thiết bị |
| Discovery | File and Directory Discovery | T1083 | Liệt kê tập tin và thư mục trên máy nạn nhân |
| Discovery | Process Discovery | T1057 | Thu thập danh sách tiến trình đang hoạt động |
| Discovery | Network Service Discovery | T1046 | Xác định các dịch vụ mạng đang mở |
| Collection | Data from Local System | T1005 | Thu thập dữ liệu lưu trữ trên thiết bị |
| Collection | Screen Capture | T1113 | Chụp màn hình phục vụ hoạt động giám sát |
| Collection | Clipboard Data | T1115 | Thu thập dữ liệu từ Clipboard |
| Credential Access | OS Credential Dumping | T1003 | Thu thập thông tin xác thực từ hệ điều hành |
| Command and Control | Application Layer Protocol | T1071 | Giao tiếp C2 qua HTTP/HTTPS |
| Command and Control | Encrypted Channel | T1573 | Sử dụng kênh liên lạc được mã hóa |
| Command and Control | Web Protocols | T1071.001 | Liên lạc với máy chủ điều khiển qua giao thức web |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Trích xuất dữ liệu qua kênh C2 |
| Exfiltration | Exfiltration to Cloud Storage | T1567.002 | Có thể sử dụng dịch vụ lưu trữ trực tuyến để truyền dữ liệu |
| Impact | Data Manipulation | T1565 | Thay đổi dữ liệu hoặc thành phần phần mềm trong chuỗi cung ứng |
IOC
File Hash (SHA-1)
511B77459673EC42163F19E300FF1D233B6C39FB
59A8553A4F8130F576AB234E0B220BE4D4DA0E98
9CA1A5C7F79882DB913534C1E62B26BCDCB9F6DD
A8E2BBBFCB86500322D2367744FA12755AB0C165
F74F1FEB62B662CDA489FDB2453727824E55ACB9
F8F8209987CA7F139DE6A62F9E6EE21BD2AE93A9
19A69F856EFA811C376F68E4FEB0997B4724F8BD
490194E9BB5128ECA8693AD9E610891C2ED185AF
51176139B0B2220B802C1578A4994DF68DF5BCD1
91F042F59BE4BDCB6E5EA21B91DECD731C175B54
A177ED0BFFEB1EFE1D9D31D72A82EF2625AE646D
B7B2D2DB544F9EEA74453CDF2B8BEEA58CF07C48
4AD36AD6C165B5174967020CB1A3358F78D7A283
57352B3CEEE32216E5AA20BAA848483D7AB5A6FB
9BC06DF9F932746A05EE728C8B103BD3BA6BF395
865A1739337D3303B3AB02C5E694C22B79C42B7D
B0FEA981D02F6F76DE81EBAEFCB68B7D205D6194
48FEBB91A10D1462461A012FAFC0918BB028E947
150764A71DEEF498DE6F8C95ECCCB4455C1B601F
IP addresses
38.60.245[.]37
139.99.33[.]239
139.162.11[.]152
139.180.128[.]42
142.91.98[.]77
166.88.77[.]186
194.68.26[.]241
46.183.220.8146.183.220.8246.183.222.8246.183.222.8346.183.222.8446.183.223.10646.183.223.10774.121.190.13074.121.190.15079.143.87.23079.143.87.23384.38.132.22684.38.132.227149.56.180.243158.69.100.199164.132.45.67192.34.109.163192.34.109.173198.50.191.194198.50.191.195198.50.234.96198.50.234.111
Domains
Registry
HKCU\SOFTWARE\Classes\AppXc52346ec40fb4061ad96be0e6cb7d16a\HKCU\SOFTWARE\Classes\AppX3bbba44c6cae4d9695755183472171e2\HKCU\SOFTWARE\Classes\CLSID{E3517E26-8E93-458D-A6DF-8030BC80528B}\HKCU\SOFTWARE\Intel\Display\igfxcui\igfxtray\;[NUMBER];[DWORD]
Initial Dropper
FDCB35CD9CB8DC1474CBCDF1C9BB03200DCF3F18
A40EE8FF313E59AA92D48592C494A4C3D81449AF
C2EB1033BC01AB0FD732A7BA4967BE02C0690BF0
D35695F2366A43628231E73FFA83CA106306A8FA
FE0161FB8A26A0BF4AFAD746C7EBF89499DCD3A7
032EF58B7978D079287874044DC516AF624AE5F5
2A387D7D47A63D6E47D9CC92D3DC69A53816C2C0
7105CAA6D4FD8A2C67523D385277528E556AE4F6
F96BCD875836DA89800912DE1E557891697C7CF4
Sideloaded libraries
82e579bd49d69845133c9aa8585f8bd26736437b
202fb56edb2fb542e05c845d62ffbdcfbebed9ec
Tham khảo
OceanLotus: From external espionage to domestic targeting
malware-ioc/oceanlotus at master · eset/malware-ioc
Vietnam-aligned OceanLotus pivots to spy on domestic
OceanLotus Hits Vietnam Investors With SPECTRALVIPER in FireAnt Attack
