Kelompok ancaman siber yang bersekutu dengan Vietnam, OceanLotus, kembali menjadi perhatian setelah diduga mengalihkan fokus operasionalnya ke spionase domestik. Dua kampanye berbeda yang menargetkan investor saham dan perusahaan infrastruktur di Vietnam terungkap menggunakan backdoor canggih bernama SPECTRALVIPER.
Baca Juga: AI Generatif Jadi Target di Pwn2Own Berlin 2026, Hadiah Mencapai US$1,3 Juta
Dilansir dari The Hacker News, laporan dari perusahaan keamanan siber ESET mengonfirmasi bahwa kampanye ini berlangsung dari pertengahan 2024 hingga Maret 2026. Temuan ini menandakan potensi perubahan strategis OceanLotus yang kini lebih menekankan target dalam negeri.
Salah satu kampanye menyasar perusahaan konstruksi infrastruktur dan transportasi Vietnam yang tidak disebutkan namanya. Serangan ini berlangsung mulai November 2024 dan OceanLotus berhasil mempertahankan akses secara diam-diam hingga Februari 2026.
Baca Juga: Anthropic Resmi Luncurkan Claude Fable 5, Gratis Hingga 22 Juni
Meski jalur akses awal belum sepenuhnya jelas, dugaan kuat mengarah pada eksploitasi kerentanan eksekusi kode jarak jauh (RCE) di server Microsoft SQL yang terhubung ke internet. Setelah berhasil masuk, aktor ancaman menyebarkan backdoor SPECTRALVIPER melalui teknik DLL side-loading.
Kampanye kedua merupakan serangan rantai pasokan terhadap FireAnt Metakit, platform perangkat lunak yang populer di kalangan investor saham Vietnam. Menurut ESET, serangan ini kemungkinan dimulai sekitar 2 Oktober 2025 dan berlangsung hingga Maret 2026.
Pelaku memanfaatkan lemahnya mekanisme validasi integritas pada file konfigurasi pembaruan yang terletak di ‘metakit. fireant[.
]vn/Software/version. xml’.
Tanpa verifikasi tanda tangan, aplikasi FireAnt mengunduh dan mengeksekusi pembaruan berbahaya yang kemudian melakukan pengintaian host dan mengirim data ke server staging.
Payload yang diunduh kemudian memicu rantai DLL side-loading dengan menyalahgunakan biner sah untuk meluncurkan DLL jahat bernama ‘DtlCrashCatch. dll’.
DLL itu lantas menyuntikkan dirinya ke proses OneDrive. Sync.
Service. exe untuk akhirnya mengeksekusi SPECTRALVIPER.
Backdoor ini kemudian berkomunikasi dengan server command-and-control (C2) di ‘financemachinelearning[. ]com’ untuk mengirimkan informasi host terenkripsi.
ESET mencatat bahwa sejak 9 Maret 2026, tidak ada lagi pembaruan berbahaya yang terdistribusi melalui saluran tersebut.
Di kampanye pertama, tiga varian SPECTRALVIPER yang berbeda ditemukan di beberapa host yang disusupi pada jaringan yang sama. Malware itu menghubungi server C2 berbeda, yaitu ‘gatewayrvcenter[.
]com’, untuk mengirimkan data profil host dan menerima perintah dari operator. Selain itu, SPECTRALVIPER juga berperan sebagai loader dengan menyuntikkan biner tambahan atau shellcode yang diambil dari server C2 ke proses target, memfasilitasi pergerakan lateral di dalam jaringan korban.
OceanLotus sendiri bukan pemain baru di dunia spionase siber. Kelompok ini telah aktif sejak 2012 dan memiliki rekam jejak menargetkan Tiongkok, pembela hak asasi manusia, serta organisasi masyarakat sipil.
Pada Desember 2020, Meta mengaitkan aktivitas OceanLotus dengan perusahaan IT Vietnam, CyberOne Group. Meski CyberOne membantah, pengungkapan ini membuat kelompok tersebut menghilang selama hampir tiga tahun.
Mereka baru muncul kembali pada Juni 2023, saat Elastic Security Labs mendokumentasikan penggunaan SPECTRALVIPER dalam serangan terhadap perusahaan publik Vietnam.
Baru-baru ini, Kaspersky juga menemukan tiga paket berbahaya di repositori PyPI yang dirancang untuk mengirimkan malware ZiChatBot. Perusahaan keamanan asal Rusia itu mencatat bahwa dropper yang digunakan memiliki kemiripan 64% dengan dropper yang dipakai OceanLotus, semakin memperkuat dugaan keterlibatan grup ini di berbagai operasi.
“Apakah pergeseran ini merupakan penyesuaian sementara atau perubahan strategis jangka panjang masih belum jelas; namun, kelompok APT berusia 15 tahun ini terus menunjukkan taktik agresif dan tingkat kecerdikan dalam perangkatnya,” ujar ESET dalam laporannya.
Baca Juga: ZTE U15S Hadir dengan Baterai 10.000mAh dan Wi-Fi 6, Harga Cuma 179 Yuan
Pergeseran fokus OceanLotus ke target domestik sejak terbongkarnya perusahaan depan fisik mereka pada 2020 memang cukup mencolok. Meskipun masih belum ada kepastian apakah ini hanya taktik sementara, yang jelas kelompok ini tetap menjadi ancaman serius bagi keamanan siber di Vietnam dan kawasan.
Leave a Comment