越南背景的老牌APT组织OceanLotus(海莲花)近期被安全厂商ESET记录到两起独立攻击行动,目标分别指向越南本土基建交通建设企业以及当地股票投资者。这与该组织长期以来针对中国等外部目标的策略形成鲜明反差。其中一个行动是持续性网络间谍活动,从2024年中持续至2026年2月,瞄准越南一家基础设施和交通运输建设集团。另一个行动则是供应链攻击,利用越南股民常用的软件平台FireAnt Metakit进行渗透,时间跨度从2025年10月到2026年3月。两起行动均使用了名为SPECTRALVIPER的后门工具。 ESET在报告中指出,这一转向表明该威胁行为体正将更多精力投入国内情报搜集,但目前尚不清楚这是短期调整还是长期战略转变。OceanLotus自2012年活跃以来,已积累15年攻击经验,一直表现出激进战术和精巧的工具开发能力。此前,该组织曾通过水坑攻击对媒体、人权、公民社会等领域的数百名个人与机构进行数字画像,尤其针对越南人权捍卫者和异见人士。2020年12月,Meta曾将该组织与越南IT公司CyberOne Group(亦称CyberOne Security、CyberOne Technologies、Hành Tinh Company Limited)关联,该公司否认指控后,OceanLotus一度销声匿迹近三年。其武器库中曾出现SOUNDBITE、PHOREAL、WINDSHIELD等知名工具,而本次使用的SPECTRALVIPER最早由Elastic Security Labs于2024年6月记录。安全专家提醒,该组织时隔数年重新活跃并“枪口对内”,标志着东南亚网络威胁格局出现值得警惕的新动向。

打开网易新闻 查看精彩图片