OceanLotus colpisce in patria: SPECTRALVIPER infiltra infrastrutture e investitori via supply chain FireAnt Metakit

Il gruppo di cyber spionaggio OceanLotus, associato al Vietnam, è stato collegato a due campagne distinte che hanno preso di mira entità nazionali e investitori in borsa tramite la backdoor SPECTRALVIPER. Le attività osservate mostrano un cambiamento di priorità, con un interesse crescente verso obiettivi interni invece di operazioni rivolte principalmente all’estero.

OceanLotus è attivo da molti anni e in passato ha utilizzato diverse tecniche di intrusione, ma nelle campagne più recenti emerge una maggiore selettività e un uso più raffinato della catena di distribuzione del malware.

Campagna 1: cyber espionage contro infrastrutture e trasporti

La prima campagna è stata un’operazione prolungata di cyber espionage contro una società vietnamita legata a infrastrutture e costruzioni nel settore dei trasporti, con accesso mantenuto per mesi fino al 2026. Anche se il vettore iniziale non è stato definito con certezza, viene indicata la possibile compromissione di un server Microsoft SQL esposto pubblicamente tramite vulnerabilità di remote code execution.

Una volta ottenuto l’accesso, gli attaccanti hanno distribuito SPECTRALVIPER usando DLL side loading, tecnica che sfrutta eseguibili legittimi per caricare librerie malevole e mascherare l’esecuzione. Sono state individuate varianti diverse della backdoor su host differenti nella stessa rete, segnale di adattamento e persistenza.

Campagna 2: compromissione della supply chain tramite FireAnt Metakit

La seconda campagna è particolarmente rilevante per la sicurezza della supply chain, perché ha sfruttato FireAnt Metakit, una piattaforma software diffusa tra gli investitori vietnamiti. L’attacco avrebbe utilizzato il canale di aggiornamento legittimo per distribuire SPECTRALVIPER solo a un sottoinsieme di utenti, suggerendo un targeting mirato.

Un elemento critico è la mancanza di un meccanismo di verifica di integrità o firma digitale nel processo di update, che permette a un file di configurazione e al binario di installazione di essere sostituiti senza controlli efficaci. In questo scenario, il componente di aggiornamento ha avviato un downloader malevolo come se fosse un update valido, eseguendo ricognizione di base sul sistema e inviando dati tramite richieste HTTP POST a un server di staging per ottenere lo stadio successivo.

Catena di esecuzione e capacità della backdoor

La catena di esecuzione include anche l’iniezione in un processo legittimo, come un servizio legato a OneDrive, e la successiva comunicazione con server di comando e controllo per inviare informazioni cifrate sull’host e ricevere istruzioni. SPECTRALVIPER può anche agire da loader, facilitare movimenti laterali e caricare ulteriori payload, aumentando il rischio per reti aziendali e utenti finali.