OceanLotus’un Yeni Hedefleri ve Operasyonel Değişim
Vietnam’a bağlı APT grubu OceanLotus, son dönemde iç saha odaklı operasyonlarını artırarak dikkat çekiyor. 2017’den itibaren Güneydoğu Asya’da geniş izinli siber casusluk faaliyetlerinin sürdürülmesiyle kayıtlı grup, özellikle Vietnam’ın iç istihbarat ve finans sektörleri üzerinde yoğunlaşmaya başladı. Bu değişim, grup taktiklerini ve altyapısını önemli ölçüde etkiliyor.
İç Hedeflerdeki Değişim ve Nedenleri
geçmişte, OceanLotus daha çok Çin ve Güneydoğu Asya genelinde geniş kapsamlı saldırılar düzenliyordu; Ancak son yıllarda iç hedef seçimi ve yerel operasyonlara yönelme korumasını artırdı. Bu değişimin temel nedenleri arasında, Vietnam’ın yolsuzlukla güçlü mücadelesi ve ekonomik reformlar yer alıyor. Vietnam hükümeti, yolsuzlukla karşı savaş kapsamında yeni güçlü güvenlik önlemleri ve yolsuzluktan arındırılmış programlar devreye alındı. OceanLotus bu depolamayı, iç sahada daha hassas ve hedefli operasyonlar gerçekleştirmeye başladı.
SpectreVipar ve Çalışma Prensipleri
Grubunun yeni operasyonlarından biri, iç sahalarda özel bir arka kapı SPECTRALVIPER kullanılıyor. Bu araç, uzun ömürlü casusluk ve veri sızdırma hedefleriyle tasarlandı. SPECTRALVIPER, kendine özgü ağ protokolü ve çalışma geliştirmeleriyle, hedef sistemlere gizlice sızıp kritik bilgileri çalabiliyor. Bilinen diğer arka kapılardan farkı ise, düşük tespit edilme oranıyla birleşen gelişmiş teknolojiler sayesinde, sürekli yeni güncellemeler ve paravan şirketler aracılığıyla gündemde kalmasıdır.
Operasyonel Takip ve Örnekler
ESET’in son raporlarına göre, OceanLotus, Vietnam’da özellikle altyapı ve ulaşım sektörlerine yönelik uzun soluklu casusluk kampanyaları yürütüyor. Bularda, hedeflenen kişilere yönelik kampanya kimlik avı ve kötü amaçlı yazılımların yayılmasıyla sistemler ele geçirilerek uzun süre takip sağlanıyor. Ayrıca Vietnamlı şirketlere ve finans kuruluşlarına yönelik tedarik zinciri saldırıları da tespit edildi. Bu saldırılarda, kötü amaçlı güncellemeler kullanılarak meşru platformların içine sızma stratejisi izleniyor.
FireAnt MetaKit ve Tedarik Zinciri Saldırıları
Özellikle 2025 sonunda başlayan ve 2026 Mart ayına kadar devam eden saldırıda, OceanLotus, popüler bir hisse senedi yatırım platformu olan FireAnt MetaKit üzerinden tedarik zinciri saldırısı yaptı. Grup, platformun güncellemelerini kontrol ederek, geçerli yazılım güncellemelerini gizlemiş SPECTRALVIPER arka kapıyı dağıttı. Bu sayede hedef sistemlere gizlice erişim izni ve yüksek gizlilikle veri iptal edildi.
Operasyonların Gizemi ve Seçici Hedefleme
Merakla beklenen bu saldırılar oldukça seçici bir hedef setine yönelik yapılıyor. OceanLotus’un sadece birkaç kurbanın saldırısının bu saldırıların izi tespit edildiği, geniş kapsamlı saldırılardan çok yüksek değerli ve hassas hedeflere odaklanıldığı görülüyor. Ayrıca çalışma ortamında zaman zaman çalışma zamansal bilgiler ve özel ağ protokollerinin kullanımı, değişiklik yapma taktikleri dikkat çekiyor.
Vietnam İçin Olası Nedenler ve Sonuçlar
Vietnam, pandemi sonrası ekonomik kalkınma ve yolsuzlukla mücadele gibi devam eden iç operasyonlar sırasında, OceanLotus’un iç politikalarına ve ekonomik gelişmelere paralel hareket ettiği görülüyor. Bu gelişmeler, grup için yeni olanaklar ve bölümler şekillendirilirken, iç istihbarat alanında büyük bir oyun alanı genişletilir. Güvenlik güçleri, bu saldırıların önüne geçmek adına yeni teknolojilere ve stratejilere ihtiyaç duyuyor, çünkü OceanLotus’un yenilikçi yöntemleri ve gizlilik özgürlüğü, bunları oldukça zorlaştırıyor.
İlk yorum yapan olun