Vietnam bağlantılı OceanLotus’un hedefi değişti: Siber casusluk faaliyetleri ülke içine yöneldi

Siber güvenlik şirketi ESET, Vietnam bağlantılı Gelişmiş Kalıcı Tehdit (APT) grubu OceanLotus’un son iki yılda gerçekleştirdiği faaliyetlerde dikkat çekici bir yön değişikliği tespit etti. Şirketin araştırmasına göre, daha önce ağırlıklı olarak yabancı hedeflere yönelik siber casusluk operasyonlarıyla bilinen grup, 2024 ortasından Şubat 2026’ya kadar Vietnam içindeki kurum ve bireylere odaklanan operasyonlar yürüttü.

ESET Research tarafından 2024-2026 döneminde gerçekleştirilen incelemelerde, OceanLotus’un dış operasyonlarda daha seçici davranmaya başladığı ve iç istihbarat faaliyetlerine daha fazla kaynak ayırdığı belirlendi. Araştırmacılar, grubun kendine özgü SPECTRALVIPER arka kapısını kullandığı iki ayrı kampanyayı ortaya çıkardı. Kampanyalardan biri Vietnam’daki bir altyapı ve ulaşım inşaat şirketini hedef alırken, diğeri borsa yatırımcılarının yaygın olarak kullandığı FireAnt MetaKit platformu üzerinden gerçekleştirilen tedarik zinciri saldırısından oluştu.

YURT İÇİ HEDEFLERE YÖNELİM DİKKAT ÇEKTİ

ESET’in değerlendirmesine göre, Vietnam içindeki hedeflere yönelinmesi OceanLotus’un operasyonel yaklaşımında önemli bir değişime işaret ediyor. Araştırmacılar, söz konusu değişimin geçici bir taktik düzenleme mi yoksa uzun vadeli bir stratejik dönüşüm mü olduğunun henüz netleşmediğini belirtti.

Yaklaşık 15 yıllık geçmişe sahip olan OceanLotus’un, kullandığı araçları ve yöntemleri sürekli geliştirdiği ifade edildi. Grup, Windows ve Linux sistemlerine yönelik arka kapı yazılımlarını düzenli olarak güncellerken, operasyonlarının ihtiyaçlarına göre özel ağ protokolleri ve veri toplama yöntemleri kullanıyor.

İNŞAAT ŞİRKETİNE UZUN SOLUKLU CASUSLUK OPERASYONU

Araştırmada ortaya çıkarılan ilk kampanya, Vietnam’daki bir altyapı ve ulaşım inşaat şirketine yönelik gerçekleştirilen siber casusluk operasyonu oldu. ESET verilerine göre saldırı 2024 yılının ortalarında başladı ve Ocak 2026’ya kadar devam etti.

Saldırganların şirket ağına erişim sağlayarak uzun süre sistem içinde kaldığı ve operasyon boyunca SPECTRALVIPER adlı arka kapıyı kullandığı belirlendi. Araştırmacılar, saldırının yeni keşfedilen bir güvenlik ihlaliyle bağlantılı olduğunu bildirdi.

YAZILIM GÜNCELLEMESİ ÜZERİNDEN TEDARİK ZİNCİRİ SALDIRISI

İkinci kampanya ise Ekim 2025 ile Mart 2026 tarihleri arasında gerçekleştirildi. OceanLotus’un, Vietnam’daki hisse senedi yatırımcıları tarafından yaygın şekilde kullanılan FireAnt MetaKit platformunun güncelleme sunucusunu ele geçirdiği tespit edildi.

Saldırganlar, meşru yazılım güncellemelerinin içerisine kötü amaçlı yük yerleştirerek kullanıcı sistemlerine SPECTRALVIPER arka kapısını dağıttı. ESET, saldırının çok geniş bir kullanıcı kitlesini etkileyebilecek potansiyele sahip olmasına rağmen zararlı yazılımın yalnızca sınırlı sayıda hedefte görüldüğünü ve bunun seçici hedefleme yapıldığına işaret ettiğini belirtti.

Araştırmaya göre saldırının hedefinde borsa yatırımcıları bulunuyordu. Operasyonun, Vietnam’da sermaye piyasalarının reformuna yönelik son dönemdeki çalışmalarla bağlantılı olabileceği ve iç gözetim ya da soruşturma amaçlı faaliyetlerle ilişkilendirilebileceği değerlendirildi.

SPECTRALVIPER’IN YAPISI ORTAYA ÇIKARILDI

Her iki kampanyada da kullanılan SPECTRALVIPER arka kapısı, OceanLotus’un karakteristik araçlarından biri olarak öne çıktı. ESET araştırmacıları, operasyonel güvenlikte yapılan bir hata nedeniyle zararlı yazılım içerisindeki çalışma zamanı tür bilgilerine ait isimlerin bozulmadan kaldığını belirledi.

Söz konusu hata sayesinde araştırmacılar, SPECTRALVIPER’ın iç mimarisinin bazı bölümlerini yeniden oluşturmayı başardı ve yazılımın çalışma prensiplerine ilişkin daha ayrıntılı teknik verilere ulaştı.

2020 SONRASI DÖNEMDE FAALİYETLERDE DEĞİŞİM

OceanLotus, özellikle 2017 ile 2020 yılları arasında gerçekleştirdiği operasyonlarla uluslararası kamuoyunun dikkatini çekmişti. Grup, 2017-2018 yıllarında Güneydoğu Asya’ya yönelik geniş çaplı watering-hole saldırılarıyla, 2019 yılında BMW ve Hyundai gibi şirketlere yönelik sızma faaliyetleriyle ve Almanya’daki bir Vietnamlı muhalifi hedef alan operasyonla gündeme gelmişti.

Aynı dönemde insan hakları savunucularına yönelik saldırılar ve 2020 yılında Wuhan belediye yönetimini hedef alan casusluk faaliyetleri de grupla ilişkilendirilmişti.

Ancak Facebook’un, OceanLotus’un faaliyetlerinde kullanıldığı değerlendirilen bir paravan şirketi kamuoyuna açıklamasının ardından grubun operasyonlarında görünürlük azaldı. Takip eden yıllarda OceanLotus hakkında kamuya açık raporların sayısı önemli ölçüde düştü.

YOLSUZLUKLA MÜCADELE SÜRECİYLE BAĞLANTI İDDİASI

ESET, OceanLotus’un son dönemdeki faaliyetlerinin Vietnam’ın iç siyasi ve idari gündemindeki gelişmelerle örtüştüğüne dikkat çekti. Vietnamlı yetkililerin son yıllarda “Blazing Furnace” adı verilen program kapsamında kapsamlı bir yolsuzlukla mücadele süreci yürüttüğü belirtildi.

Araştırmacılar, ülkenin güvenlik kurumlarının yolsuzluk ve finansal suçlarla mücadele amacıyla daha fazla kaynak kullandığını, OceanLotus’un faaliyetlerinin de bu süreçlerle bağlantılı olabileceğini değerlendirdi. ESET’e göre bu durum, grubun iç istihbarat ve gözetim faaliyetlerine yönelmesinin olası nedenlerinden biri olarak öne çıkıyor.