Dünyanın önde gelen siber güvenlik firmalarından ESET, Vietnam bağlantılı gelişmiş kalıcı tehdit grubu OceanLotus (APT32)‘un operasyonel odağını değiştirdiğini ortaya koydu. 2024 ortasından bu yana yürütülen kapsamlı araştırmalar, grubun artık yalnızca yabancı hedeflere değil, aynı zamanda kendi ülkesindeki kurumlara ve bireylere yönelik siber casusluk faaliyetlerine ağırlık verdiğini gösteriyor. Özellikle, meşru bir yazılım güncelleme sürecinin manipüle edilerek SPECTRALVIPER adlı özel bir arka kapının dağıtılması, bu yeni stratejinin en çarpıcı örneklerinden biri olarak kayıtlara geçti.
İki Farklı Kampanya, Aynı Hedef: Vietnam İçindeki Kurumlar
ESET araştırmacıları, OceanLotus’un 2024-2026 yılları arasında gerçekleştirdiği iki ayrı saldırı kampanyasını mercek altına aldı. İlk kampanya, 2024 ortasında başlayarak Ocak 2026’ya kadar süren, Vietnamlı bir altyapı ve ulaşım inşaat şirketine yönelik uzun soluklu bir casusluk operasyonuydu. Bu saldırıda grup, hedef ağına sızarak SPECTRALVIPER arka kapısını yerleştirdi. İkinci ve daha dikkat çekici kampanya ise Ekim 2025 ile Mart 2026 arasında gerçekleşen bir tedarik zinciri saldırısıydı. Bu operasyonda OceanLotus, Vietnamlı borsa yatırımcıları tarafından yaygın olarak kullanılan FireAnt MetaKit adlı yazılım platformunun güncelleme sunucusunu ele geçirdi. Meşru güncellemelerin yerine kötü amaçlı bir yük yerleştiren grup, bu yolla SPECTRALVIPER’ı hedef sistemlere bulaştırmayı başardı.
Her iki kampanyada da kullanılan SPECTRALVIPER, OceanLotus’un kendine özgü bir arka kapı yazılımı. ESET uzmanları, bu yazılımın bir operasyonel güvenlik açığı sayesinde çalışma zamanı türü bilgilerinin bozulmadan kalmasına neden olduğunu ve bu sayede arka kapının iç mimarisinin bir kısmının yeniden oluşturulabildiğini belirtiyor. Ancak, bu tür bir saldırının geniş potansiyel etkisine rağmen ESET telemetrisi, SPECTRALVIPER’ı alan kişi sayısının oldukça sınırlı olduğunu gösteriyor. Bu durum, grubun son derece seçici bir hedefleme stratejisi izlediğine işaret ediyor.
Yurt İçi Odağa Geçişin Ardındaki Nedenler
OceanLotus’un bu yeni yönelimi, Vietnam’ın iç siyasi ve ekonomik gelişmeleriyle yakından ilişkili görünüyor. Son yıllarda Vietnam hükümeti, Blazing Furnace (Ateşli Ocak) adı verilen kapsamlı bir yolsuzlukla mücadele programı başlatmış durumda. ESET, OceanLotus’un son faaliyetlerinin bu yolsuzlukla mücadele çabalarıyla uyumlu olduğunu ve grubun, Vietnam’ın güvenlik aygıtının bir parçası olarak iç istihbarat ve gözetim faaliyetlerine yöneldiğini değerlendiriyor. Özellikle borsa yatırımcılarını hedef alan tedarik zinciri saldırısı, Vietnam’ın menkul kıymetler piyasası reformlarını teşvik etme çabalarıyla bağlantılı olabilir. Bu durum, OceanLotus’un yurt içi izleme veya soruşturma hedefleriyle doğrudan bir bağlantısı olabileceğini düşündürüyor.
Daha önce ağırlıklı olarak yabancı hedeflere odaklanan grup, 2020 yılında Facebook’un, OceanLotus’un paravanı olarak kullanıldığına inanılan bir şirketi kamuoyuna ifşa etmesiyle büyük bir darbe almıştı. Bu ifşanın ardından grubun faaliyetleri birkaç yıl boyunca kamuoyunun dikkatinden uzak kalmıştı. Ancak ESET’in son raporu, OceanLotus’un bu süre zarfında operasyonel yeteneklerini geliştirdiğini ve özellikle Windows ve Linux sistemleri için arka kapı cephaneliğini genişlettiğini ortaya koyuyor. Grup, benzersiz ağ protokolleri uygulama ve veri toplama yeteneklerini belirli operasyonel hedeflere göre uyarlama konusunda uzmanlaşmış durumda.
Geçmişten Günümüze OceanLotus’un Evrimi
2017 ile 2020 yılları arasında OceanLotus, siber casusluk faaliyetleriyle sık sık gündeme gelmişti. 2017-2018’de Güneydoğu Asya’yı hedef alan büyük ölçekli watering-hole saldırıları, 2019’da BMW ve Hyundai gibi küresel şirketlere yapılan sızmalar ve aynı yıl Almanya’da yaşayan bir Vietnamlı muhalifin hedef alınması, grubun en bilinen operasyonları arasında yer alıyor. Ayrıca, 2019-2020 yıllarında insan hakları savunucularına yönelik operasyonlar ve 2020’de Wuhan belediye yönetimini hedef alan casusluk faaliyetleri de OceanLotus’a atfedilmişti. Ancak 2020’deki ifşanın ardından grup hakkında kamuoyuna yansıyan haberler önemli ölçüde azaldı.
ESET’in 2024-2026 dönemine ait gözlemleri, OceanLotus’un operasyonel kalıplarında potansiyel bir değişime işaret ediyor. Grup, yabancı casusluk faaliyetlerinde daha seçici bir yaklaşım benimserken, iç hedeflere giderek daha fazla ağırlık veriyor. Bu değişimin geçici bir ayarlama mı yoksa uzun vadeli bir stratejik değişiklik mi olduğu henüz netlik kazanmış değil. Ancak 15 yılı aşkın bir geçmişe sahip olan bu APT grubu, agresif taktikleri ve araçlarındaki ustalığıyla siber güvenlik dünyasında önemli bir tehdit olmaya devam ediyor.
ESET, OceanLotus’un Vietnam hükümetinin çıkarlarıyla uyumlu olduğu bildirilen bir siber casusluk grubu olduğunu vurguluyor. Grubun faaliyetleri 2012 yılına ve muhtemelen daha öncesine kadar uzanıyor. OceanLotus, esas olarak Çin ve Güneydoğu Asya’yı hedef almakla birlikte, büyük çaplı dijital profil oluşturma kampanyalarından Vietnamlı insan hakları aktivistlerine yönelik son derece hedefli saldırılara kadar geniş bir yelpazede operasyon yürütüyor. ESET araştırmacıları, grubun gelecekteki faaliyetlerini yakından izlemeye devam edeceklerini belirtiyor.
Kaynak: Beyaz Haber Ajansı