An ninh mạng

OceanLotus tấn công nhà đầu tư chứng khoán Việt Nam qua chuỗi cung ứng FireAnt

Nhóm tin tặc OceanLotus vừa bị phát hiện thực hiện các chiến dịch gián điệp mạng nhắm vào nhà đầu tư chứng khoán và doanh nghiệp hạ tầng tại Việt Nam thông qua backdoor...

Nguyen Hung
11 Tháng 6, 2026 2 Min Read
4 0

Nhóm tin tặc OceanLotus (APT) đang bị cáo buộc đứng sau hai chiến dịch tấn công mạng tinh vi nhắm vào các tổ chức trong nước và nhà đầu tư chứng khoán tại Việt Nam. Công cụ chủ chốt được sử dụng trong các cuộc tấn công này là một loại backdoor có tên SPECTRALVIPER.

Table Of Content

Tấn công chuỗi cung ứng FireAnt Metakit

Theo báo cáo từ ESET, từ tháng 10/2025 đến tháng 3/2026, OceanLotus đã thực hiện tấn công chuỗi cung ứng nhắm vào FireAnt Metakit – một nền tảng phần mềm phổ biến dành cho nhà đầu tư chứng khoán. Kẻ tấn công đã lợi dụng cơ chế cập nhật của phần mềm để phát tán mã độc tới một nhóm nhỏ người dùng mục tiêu.

Điểm yếu nằm ở file cấu hình cập nhật (version.xml) khi thiếu cơ chế xác thực tính toàn vẹn (integrity validation). Do không có chữ ký số xác thực, phần mềm đã tự động tải và thực thi file setup.exe độc hại như một bản cập nhật hợp lệ. Sau khi xâm nhập, mã độc sử dụng kỹ thuật DLL side-loading để tiêm mã vào tiến trình OneDrive.Sync.Service.exe, từ đó kích hoạt SPECTRALVIPER và liên lạc với máy chủ C2 (command-and-control) để đánh cắp dữ liệu.

Gián điệp nhắm vào doanh nghiệp hạ tầng

Song song với chiến dịch trên, OceanLotus cũng duy trì sự hiện diện trái phép trong hệ thống của một tập đoàn xây dựng hạ tầng và giao thông tại Việt Nam từ cuối năm 2024 đến tháng 2/2026. Các chuyên gia nghi ngờ nhóm này đã khai thác lỗ hổng remote code execution trên máy chủ Microsoft SQL để giành quyền truy cập ban đầu.

Tại đây, SPECTRALVIPER tiếp tục được triển khai thông qua DLL side-loading, cho phép kẻ tấn công thực hiện di chuyển ngang (lateral movement) và tải thêm các payload độc hại từ máy chủ C2.

Sự thay đổi trong chiến lược của OceanLotus

OceanLotus là nhóm APT hoạt động từ năm 2012 với lịch sử nhắm vào nhiều mục tiêu trong và ngoài nước. Sau khi bị Meta liên kết với một công ty công nghệ tại Việt Nam vào năm 2020, nhóm này đã tạm dừng hoạt động một thời gian trước khi tái xuất với các công cụ tinh vi hơn như SPECTRALVIPER.

Các nhà phân tích từ ESET nhận định rằng OceanLotus đang có sự chuyển dịch chiến lược rõ rệt: ưu tiên các mục tiêu gián điệp trong nước thay vì các mục tiêu quốc tế như trước đây. Việc tấn công có chọn lọc và kỹ thuật che giấu tinh vi cho thấy nhóm này vẫn duy trì khả năng đe dọa cao đối với an ninh mạng tại Việt Nam.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept