近日,国际知名网络安全厂商发布专项威胁研究报告,完整梳理2024年年中至2026年3月越南APT组织海莲花(又称:APT32,OceanLotus)全系列攻击活动,明确该组织作战战略发生重大调整。即大幅收缩面向境外目标的网络间谍攻击行动,将核心资源倾斜至越南国内实体,并依托自研后门SPECTRALVIPER实施两起长期潜伏网络攻击行动。攻击对象分别为越南国内基建交通龙头企业和证券投资软件供应链,两起行动目标与越南国内反腐、金融市场专项整治工作高度匹配。
海莲花组织是存续周期超14年的老牌国家级APT攻击组织,业界可追溯的公开追踪记录最早始于2012年。该组织长期被全球安全厂商认定为承接越南政府部门情报搜集需求,传统攻击重心长期锁定中国、东南亚等多国的政府机构、企业及相关人员。2017至2020年,该组织多次发起大规模水坑攻击、跨国企业内网入侵等,同时也定向针对旅居境外的越南异议人士、人权工作者实施信息窃取攻击。2020年Facebook曝光其线下掩护企业后,该组织对外活动部分转入静默,公开曝光事件数量大幅下降。直至2023年,安全厂商再次披露其新型后门SPECTRALVIPER针对越南国内企业的攻击样本,海莲花组织才重新进入行业视野。本次研究人员持续近两年的追踪监测,完整还原该组织全新作战布局。
本次监测周期内,海莲花组织主要依托SPECTRALVIPER执行了两起核心间谍行动,覆盖越南国内基建、金融证券两大关键领域。第一起长期入侵行动始于2024年11月,攻击者持续渗透一家越南大型基建交通建设集团内网,潜伏周期长达15个月,直至2026年2月逐步停止全部恶意攻击活动。该攻击活动,研究人员并未直接捕获初始入侵完整链路。不过,结合受害企业暴露的公网服务器资产分析研判,攻击者极有可能利用微软SQL服务器远程代码执行漏洞完成初始访问。攻击者在受害企业内网里投放了多个不同版本的SPECTRALVIPER变种后门木马,来适配不同终端设备系统环境。以带有合法数字签名的商用工具Toolbox.exe作为DLL侧加载载体,篡改程序文件名伪装为Genuine.exe、AutoCAD242.exe等常用办公软件。搭配定制命令行参数加载恶意后门载荷DtlCrashCatch.dll,随后将恶意程序注入系统进程实现无痕迹持久化驻留。攻击者同步搭建多组专属C2域名与管控服务器用于数据加密外传,并在攻击不同阶段持续更换域名,规避流量审计设备检测。
第二起攻击为典型软件供应链投毒攻击事件,攻击者主要是瞄准越南国内头部金融科技企业FireAnt旗下专业数据分析工具FireAnt MetaKit,活动周期自2025年10月延续至2026年3月。该专业数据分析工具被大量的个人投资者和机构量化团队用于对接多款主流量化分析软件,获取实时股市行情与历史交易数据。攻击者通过远程控制官方平台更新服务器,并篡改了正版程序更新分发链路。然后,利用软件更新机制存在的两个高危安全缺陷实施投毒攻击。一是版本配置文件version.xml未配置任何文件完整性校验机制,系统无法识别被篡改的更新安装包;二是版本文件、更新程序传输链路全程未启用SSL/TLS加密,尽管本次攻击者未实施流量劫持,但原生架构本身存在极高被劫持风险。
图 1 FireAnt 供应链攻击的执行链
本次供应链攻击分为测试迭代、稳定投放两个阶段。2025年10月2日,攻击者上线首轮测试下载器,未做代码混淆处理,复用历史后门样本与旧攻击基础设施,仅用于验证分发链路可用性。2025年10月17日切换至稳定版本,对下载器实施高强度代码混淆,并采用API接口动态远程拉取载荷。攻击者搭建全新独立C2服务器,注册伪装域名financemachinelearning.com,并伪装成金融机器学习站点,贴合股民群体正常网络访问特征。普通投资者执行软件常规更新时,被篡改的合法更新程序将自动启动恶意下载器。该工具先采集本机软硬件基础信息并上传至中转节点,再远程拉取完整SPECTRALVIPER后门载荷。然后通过DLL侧加载机制伪造驱动程序IntelAudioService.exe,将恶意DLL注入OneDrive同步服务进程中,实现长期后台静默潜伏。恶意后门木马全程通过HTTPS加密信道与C2服务器通信,在请求Cookie字段嵌入加密主机标识信息,使用全新流量标记前缀zd_cs_pm=区分载荷流量,与该组织过去惯用的euconsent-v2标识形成差异化攻击者特征指纹。
值得重点关注的是,尽管本次供应链投毒可覆盖平台全部用户,但攻击者确采用定向选择性分发策略,仅向少量投资者终端推送完整后门载荷,并非采用无差别全域感染模式。这种攻击策略,也印证了海莲花组织当前采用的精准定向情报窃取的作战思路。研究人员多次向FireAnt厂商同步安全事件预警,始终未收到企业官方回应。不过,截至到报告发布时,该供应链恶意分发链路已停止推送恶意载荷。除此之外,2025年7月第三方情报机构披露海莲花组织曾向Python官方包索引(PyPI),上传恶意程序包发起供应链攻击。但研究人员全球遥测数据未捕获对应受害终端,无法独立佐证该攻击归属。
从攻击背景动机分析,海莲花组织大规模转向越南国内攻击的时间线,与越南全国反腐专项行动“熔炉行动”高度重合。自2016年起越南持续推进公职人员、企业贪腐整治,2023年先后两名国家主席因相关腐败丑闻离任。仅2025全年,就有9600名党员干部因经济犯罪、滥用职权问题受到党纪处分。同年10月,越南金融监管机构披露近十年间70家国内大型企业存在债券申报造假问题,事件直接引发该国股指大幅下跌,监管层面同步强化证券市场违规案件排查力度。海莲花组织针对基建国企、证券投资者的两起间谍行动,恰好对应国内反腐、金融违规核查两大治理方向。研究人员判断该组织调整攻击重心,或与越南本土经济案件、金融犯罪调查的情报搜集需求直接相关。
本次攻击事件的研究实现关键技术突破,主要源于海莲花组织一处典型作战安全疏漏:部分SPECTRALVIPER样本未清除RTTI(Run-Time Type Information,运行时类型信息),研究人员才得以完整逆向还原后门整体架构。SPECTRALVIPER基于组织自研XGU开发框架构建,内置Pivot内网跳板调度模块、Feature远程操控模块等,支持多终端内网横向渗透。程序通过命名管道在多台沦陷主机间分发指令,选取一台主机作为总调度节点对接外部C2服务器,其余终端仅接收内网指令,这样就能大幅度降低外联暴露概率。后门程序同时集成ProcessManager、ProcessReflector进程反射注入工具套件,可以支持任意系统进程注入、第三方恶意载荷下发并执行。该后门程序是集持久化驻留、动态载荷加载、内网渗透多重攻击能力于一体,所有对外通信均采用加密HTTPS协议。攻击者会根据不同攻击场景定制行业伪装域名,模拟目标业务正常流量特征,规避终端、边界安全设备检测。
安全研究人员指出,海莲花组织已积累十余年恶意工具研发与迭代经验,长期维护适配Windows、Linux双平台的后门套件武器库。该组织以往常会自研独有网络通信协议,或是针对特定作战目标定制化开发数据窃取功能。其标志性恶意工具包含:Denis(别名SOUNDBITE),依靠DNS隧道实现命令与控制信道通信;PHOREAL借助ICMP协议搭建命令控制通道;WINDSHIELD内置特殊代理绕过机制。不过,该事件攻击者使用的其主力后门程序SPECTRALVIPER,在内网协同渗透、网络流量伪装两大核心能力上都完成了显著技术升级。
参考链接:
https://www.welivesecurity.com/en/eset-research/oceanlotus-external-espionage-domestic-targeting/
声明:本文来自白泽安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
