Unsere Beobachtung der Aktivitäten von OceanLotus im Zeitraum 2024–2026 zeigt eine Verlagerung des operativen Schwerpunkts. In dieser Zeit verfolgte die mit Vietnam verbundene Gruppe bei ihren externen Operationen einen selektiveren Ansatz und legte gleichzeitig zunehmend den Schwerpunkt auf Spionage im Inland. Wir haben zwei unterschiedliche Kampagnen identifiziert, bei denen die SPECTRALVIPER-Backdoor zum Einsatz kam: einen Supply-Chain-Angriff, der auf Aktienanleger in Vietnam abzielte, und eine langwierige Spionageoperation gegen ein vietnamesisches Infrastruktur- und Transportbauunternehmen.
Ob diese Verlagerung eine vorübergehende Anpassung oder eine langfristige strategische Veränderung darstellt, bleibt unklar. Auf jeden Fall nutzt diese seit 15 Jahren bestehende APT-Gruppe weiterhin aggressive Taktiken und ein hohes Maß an Raffinesse bei der Nutzung ihrer Tools.
Kernpunkte dieses Blogbeitrags:
- Von Mitte 2024 bis Februar 2026 kompromittierte OceanLotus das Netzwerk eines vietnamesischen Infrastruktur- und Transportbauunternehmens mit seinem charakteristischen Implantat SPECTRALVIPER.
- Von Oktober 2025 bis März 2026 führte OceanLotus einen Supply-Chain-Angriff durch, bei dem FireAnt Metakit genutzt wurde. Diese Softwareplattform ist bei Aktienanlegern in Vietnam weit verbreitet.
- Trotz der potenziell weitreichenden Auswirkungen eines solchen Angriffs konnten wir nur wenige Personen identifizieren, die letztendlich mit SPECTRALVIPER infiziert wurden. Dies deutet auf eine selektive Zielauswahl hin.
- Ein OPSEC-Fehler verschafft uns einen Einblick in die Architektur von SPECTRALVIPER.
Profil von OceanLotus
OceanLotus, auch bekannt als APT32, ist eine Cyberspionagegruppe, die angeblich im Interesse der vietnamesischen Regierung agiert. Unseren Telemetriedaten zufolge reichen die dieser Gruppe zugeschriebenen Aktivitäten bis ins Jahr 2012 zurück, möglicherweise sogar noch weiter. OceanLotus zielt hauptsächlich auf China und Südostasien (mit Schwerpunkt auf Vietnam). Die Gruppe wurde mit einer Vielzahl von Operationen in Verbindung gebracht, die von einer massiven digitalen Profiling-Kampagne bis hin zu gezielten Angriffen auf vietnamesische Menschenrechtsaktivisten reichen.
Die Hackergruppe ist dafür bekannt, sein Arsenal an Windows- und Linux-Backdoors kontinuierlich zu erneuern und zu erweitern. Dabei werden oft einzigartige Netzwerkprotokolle implementiert oder die Datenerfassungsfunktionen auf spezifische operative Ziele zugeschnitten. Zu den bekannten Tools gehören
- Denis (auch bekannt als SOUNDBITE), das DNS-Tunneling für C&C-Kommunikation nutzt.
- PHOREAL, das das ICMP-Protokoll für C&C-Kommunikation einsetzt.
- WINDSHIELD, das über einen interessanten Proxy-Bypass-Mechanismus verfügt.
- SPECTRALVIPER, die neueste Backdoor mit Orchestrierungsfunktionen.
OceanLotus: Aufdeckung und Neuausrichtung
Zwischen 2017 und 2020 erregte OceanLotus große öffentliche Aufmerksamkeit, nachdem mehrere Berichte seine Cyberspionageaktivitäten detailliert beschrieben hatten. Dazu gehörten groß angelegte Watering-Hole-Angriffe in Südostasien in 2017–2018, Einbrüche in Unternehmen wie BMW und Hyundai im Jahr 2019 sowie die gezielte Attacke auf einen vietnamesischen Dissidenten in Deutschland im selben Jahr. Die Gruppe wurde außerdem mit Operationen gegen Menschenrechtsaktivisten zwischen 2019 und 2020 sowie mit Spionage gegen die Stadtverwaltung von Wuhan im Jahr 2020 in Verbindung gebracht.
Die Operationen der Gruppe erlitten jedoch 2020 einen Rückschlag, als Facebook das Unternehmen öffentlich identifizierte, von dem angenommen wurde, dass es als Tarnfirma für OceanLotus diente. Nach dieser Aufdeckung nahmen die öffentlichen Berichte über die Gruppe deutlich ab, und ihre Aktivitäten fanden über mehrere Jahre hinweg vergleichsweise wenig Beachtung.
OceanLotus tauchte 2023 mit einem Bericht von Elastic Security Labs wieder in der Öffentlichkeit auf. Dieser beschrieb einen Angriff, bei dem eine zuvor undokumentierte Backdoor namens SPECTRALVIPER zum Einsatz kam und sich gegen vietnamesische Unternehmen richtete. Auf dieser Grundlage untersucht unsere Studie die jüngsten Aktivitäten der Gruppe, die von Mitte 2024 bis Anfang 2026 beobachtet wurden. In diesem Zeitraum identifizierten wir zwei unterschiedliche Kampagnen, die beide SPECTRALVIPER als primäre Backdoor nutzten, jedoch sehr unterschiedliche Profile der Zielopfer aufwiesen.
Die erste Kampagne betraf die Kompromittierung eines Infrastruktur- und Transportbauunternehmens. Dieser Angriff begann Mitte 2024 und dauerte bis Januar 2026 an.
Die zweite Kampagne war ein Angriff auf die Lieferkette, der Ende 2025 begann und bis März 2026 andauerte. Bei dieser Operation kompromittierte OceanLotus den Update-Server von FireAnt Metakit, einer vietnamesischen Aktieninvestitionsplattform und ersetzte legitime Software-Updates durch eine bösartige Payload, die letztendlich SPECTRALVIPER installierte. Diese Aktion scheint auf Aktienanleger abgezielt zu haben und könnte mit den jüngsten Bemühungen Vietnams zur Förderung von Reformen des Wertpapiermarktes in Verbindung stehen, Dies wiederum könnte auf einen möglichen Zusammenhang mit innerstaatlichen Überwachungs- oder Ermittlungszielen hindeuten.
Schließlich wurde im Juli 2025 ein Supply-Chain-Angriff, bei dem bösartige Wheel-Pakete in den Python Package Index (PyPI) hochgeladen wurden, OceanLotus zugeschrieben. Unsere Telemetriedaten identifizierten jedoch keine betroffenen Opfer, und uns fehlt die ausreichende Transparenz, um diese Zuschreibung unabhängig zu verifizieren.
Insgesamt deuten die verfügbaren Beweise auf eine mögliche Veränderung der operativen Muster von OceanLotus hin. Seit der Aufdeckung ihrer physischen Scheinfirma im Jahr 2020 scheint die Gruppe einen selektiveren Ansatz bei der Auslandspionage zu verfolgen und gleichzeitig den Schwerpunkt zunehmend auf inländische Ziele zu legen.
Hintergrund dieser Kampagne
Die jüngsten Aktivitäten von OceanLotus stehen offenbar mit verschiedenen aktuellen Entwicklungen auf der innenpolitischen Bühne Vietnams im Einklang.
In den letzten Jahren haben die vietnamesischen Behörden ein groß angelegtes Programm namens „Blazing Furnace“ gegen Korruption gestartet. Ähnlich wie Xi Jinpings groß angelegte Antikorruptionskampagne in China soll diese von der Kommunistischen Partei Vietnams ins Leben gerufene Initiative der Bevölkerung zeigen, dass die Partei willens und in der Lage ist, ihre Reihen zu säubern, um ihre Legitimität zu wahren. Seit 2016 hat diese Politik zu mehreren aufsehenerregenden Prozessen gegen Parteifunktionäre oder Geschäftsleute geführt, denen Bestechung von Politikern vorgeworfen wurde. Darüber hinaus mussten seit 2023 sogar zwei vietnamesische Präsidenten zurücktreten, nachdem sie öffentlich mit Korruptionsskandalen in Verbindung gebracht worden waren. Allein im Jahr 2025 soll die Partei 9.600 ihrer Mitglieder in Fällen von Korruption, Wirtschaftskriminalität und Amtsmissbrauch sanktioniert haben.
Vor diesem Hintergrund scheint es wahrscheinlich, dass der vietnamesische Sicherheitsapparat nun zunehmend umfangreiche Ressourcen für die Bekämpfung von Korruption (und Finanzkriminalität im weiteren Sinne) einsetzt. Wir glauben, dass OceanLotus in irgendeiner Weise mit diesen Bemühungen in Verbindung stehen könnte und dass dies ein weiterer Grund für die offensichtliche Neuausrichtung der Gruppe auf inländische Nachrichtendienste und Überwachung in den letzten rund zwei Jahren sein könnte. Tatsächlich spiegeln die beiden Ziele, die wir in dieser Kampagne identifiziert haben, Justizskandale wider, die kürzlich die öffentliche Debatte in Vietnam erhitzt haben.
Ende Oktober 2025 gab beispielsweise die vietnamesische Finanzaufsichtsbehörde bekannt, dass etwa 70 große nationale Unternehmen in den letzten zehn Jahren Anleiheverkäufe falsch gemeldet hatten. Die Enthüllung führte zum Einbruch des wichtigsten Aktienindex des Landes um 5,5 Prozent führte. Diese Ankündigung lässt vermuten, dass die vietnamesischen Strafverfolgungsbehörden zu dem Zeitpunkt, als OceanLotus die Aktienhandels-App FireAnt kompromittierte, möglicherweise weitreichende Ermittlungsmaßnahmen gegen den vietnamesischen Aktienmarkt durchführte.
Aufgrund dieser Indizien gehen wir davon aus, dass der Supply-Chain-Angriff von OceanLotus wahrscheinlich im Rahmen der laufenden Ermittlungen gegen Korruption und Finanzkriminalität in Vietnam durchgeführt wurde.
Aktienanleger im Visier
Die Lieferkette
Wir schätzen, dass der Supply-Chain-Angriff auf FireAnt etwa im Oktober 2025 begann und bis März 2026 andauerte. Während dieses Zeitraums identifizierten wir einige Aktienanleger, die der Supply-Chain ausgesetzt waren. Jedoch erhielt letztlich nur ein kleiner Teil von ihnen die SPECTRALVIPER-Backdoor. Unser Team unternahm mehrere Versuche, FireAnt über den Vorfall zu informieren, erhielt jedoch keine Antwort.
FireAnt ist ein in Vietnam ansässiges Fintech-Unternehmen, das eine Plattform für Börsendaten, Analysen und Anlagehilfetools für private und institutionelle Anleger anbietet. Es gilt als eine der führenden digitalen Anbieter in Vietnam und bietet Echtzeit-Marktdaten, Funktionen zur technischen Analyse und KI-gestützte Erkenntnisse sowie eine Community-Komponente, in der Anleger Informationen und Meinungen austauschen können. Innerhalb dieses Ökosystems ist FireAnt MetaKit eine spezialisierte Softwarekomponente, die auf die Datenbereitstellung ausgerichtet ist. Sie wurde entwickelt, um Echtzeit- und historische Finanzmarktdaten direkt an technische Analyseplattformen wie AmiBroker, MetaStock und MetaTrader zu liefern.
Am 2. Oktober 2025 haben wir die erste bösartige Payload entdeckt, die von der legitimen Update-URL von FireAnt MetaKit http://metakit.fireant[.]vn/Software/setup.exe stammte. Die Domain wurde auf die echte IP-Adresse des FireAnt-Update-Servers aufgelöst, was auf ein Szenario einer Kompromittierung der Lieferkette hindeutet. Unsere Analyse dieser Payload ergab einen Downloader der ersten Iteration, was darauf hindeutet, dass diese Aktivität wahrscheinlich die frühe Phase der Kampagne darstellt, in der OceanLotus den Übertragungsmechanismus an den ersten Opfern testete. In Tabelle 1 vergleichen wir diesen anfänglichen Downloader mit der stabilen Version, die später im Verlauf der Kampagne beobachtet wurde.
Tabelle 1. Vergleich zwischen der Testversion und der stabilen Version des Downloaders
| Criteria | First iteration | Stable version |
| First seen | 2025‑10‑02 | 2025‑10‑17 |
| Code obfuscation | None | Heavily obfuscated |
| Next-stage download | Hardcoded URLs | API request |
| Payload | An old SPECTRALVIPER sample that appeared in a previous campaign. | Fresh SPECTRALVIPER samples. |
| Infrastructure | Reused from the previous campaign. | New infrastructure. SPECTRALVIPER C&C domain financemachinelearning |
Neben der Beobachtung von Payloads, die direkt vom FireAnt-Update-Server bereitgestellt wurden, haben wir Schwachstellen im Update-Protokoll der FireAnt-MetaKit-Software identifiziert. Insbesondere fehlt der Update-Konfigurationsdatei unter http://metakit.fireant.vn/Software/version.xml jeglicher Mechanismus zur Integritätsprüfung, wie in Abbildung 1 dargestellt.
Zweitens macht das Fehlen einer SSL/TLS-Verschlüsselung im Netzwerkprotokoll, das zum Abrufen sowohl der Datei „version.xml“ als auch aller aktualisierten Binärdateien verwendet wird, FireAnt MetaKit anfällig für Abhörangriffe. Wir haben jedoch nicht beobachtet, dass OceanLotus diese Technik in dieser Kampagne genutzt hat.
Die Ausführungskette
Aufgrund fehlender Signaturprüfung führte Metakit.exe den bösartigen Downloader als legitimes Update aus. Nach dem Start führte der Downloader eine grundlegende Host-Erkundung durch und übermittelte die gesammelten Informationen über eine HTTP-POST-Anfrage an einen Staging-Server, um die Payload der nächsten Stufe anzufordern (Abbildung 2).
Bei allen beobachteten Samples blieb die Download-API V1/Update/GetUpdate konsistent. Die Staging-Infrastruktur entwickelte sich jedoch im Laufe der Zeit weiter, wobei die C&C-Server zunächst unter 139.162.11[.]152 gehostet wurden und später auf 142.91.98[.]77 migrierten.
In der folgenden Phase setzte der Downloader eine Side-Loading-Kette ein, an der DtlCrashCatch.dll – eine als Loader konfigurierte SPECTRALVIPER-Datei – und die dazugehörige ausführbare Datei IntelAudioService.exe beteiligt waren. Letztere wurde mit dem folgenden Befehl ausgeführt:
C:\Users\[redacted]\IntelAudio\Service\IntelAudioService.exe /appmodel /StateRepository /Service
Die Analyse ergab, dass IntelAudioService.exe tatsächlich eine Kopie der legitimen, signierten ausführbaren Datei dtlupdate.exe ist, wie in Abbildung 3 dargestellt.
Nach der Ausführung injiziert sich DtlCrashCatch.dll in den Prozess OneDrive.Sync.Service.exe und ermöglicht so die Ausführung im Backdoor-Modus. Die Backdoor sendet dann eine Beacon-Anfrage an die fest codierte URL https://financemachinelearning[.]com/apparatus/wind/twig/statement.html und bettet verschlüsselte Host-Informationen in den HTTP-Cookie-Header ein. In der Vergangenheit wurde diesen Daten das Präfix „euconsent-v2=“ vorangestellt; in dieser Kampagne beobachteten wir jedoch die Verwendung des Präfixes „zd_cs_pm=“ (Abbildung 4), was den ersten Fall dieser Variante darstellt.
Die vollständige Ausführungskette ist in Abbildung 5 zusammengefasst.
Seitdem 9. März 2026 haben wir keine weiteren bösartigen Updates mehr beobachtet, die über den kompromittierten Kanal verbreitet wurden. Das könnte darauf hindeuten, dass der Supply-Chain-Angriff wahrscheinlich beendet ist.
Angriff auf ein großes Unternehmen
Wir gehen davon aus, dass die Kompromittierung des Unternehmensnetzwerks eines vietnamesischen Infrastruktur- und Transportbauunternehmens bereits im November 2024 begann und bis Februar 2026 andauerte. Obwohl der ursprüngliche Zugangsvektor nicht direkt beobachtet wurde, deutet unsere Analyse der öffentlich zugänglichen Server des Opfers darauf hin, dass der Angreifer möglicherweise Schwachstellen für die Remote-Code-Ausführung (RCE) in einem Microsoft SQL-Server ausgenutzt hat, um einen ersten Fuß in das System zu setzen.
Während dieses Zeitraums identifizierten wir mehrere SPECTRALVIPER-Varianten, die im gesamten Netzwerk eingesetzt wurden und sowohl gemeinsame als auch unterschiedliche C&C-Server nutzten. Bemerkenswert ist, dass diese Einsätze leichte Variationen aufwiesen, die möglicherweise auf die Umgebungen der kompromittierten Hosts zugeschnitten waren (Abbildung 6).
Genuine.exe, Updater.exe und AutoCAD242.exe in Abbildung 6 sind Varianten derselben legitimen und signierten ausführbaren Datei Toolbox.exe (Abbildung 7), die alle den Befehlszeilenparameter -uiDll benötigen, damit der Side-Loading-Mechanismus korrekt funktioniert. Ähnlich wie beim Supply-Chain-Angriff handelt es sich bei der seitlich geladenen DLL in ihrer Loader-Konfiguration um SPECTRALVIPER, das anschließend die SPECTRALVIPER-Backdoor in einen Host-Prozess injiziert.
Tabelle 2 listet die während dieses Vorfalls beobachteten C&C-Domains auf.
Tabelle 2. Aus dem Vorfall beobachtete C&C-Domains von SPECTRALVIPER
| C&C domain | IP | First seen |
| gatewayrvcenter[.]com | 139.180.128[.]42 | 2025-09-20 |
| coachcybersecurity[.]com | 139.99.33[.]239 | 2024-07-08 |
| mxprodesign[.]com | 166.88.77[.]186 | 2024-07-12 |
| power-sync-services[.]com | 103.119.47[.]104 | 2024-07-06 |
SPECTRALVIPER: Ein struktureller Überblick
Unsere Analyse von SPECTRALVIPER deckt sich weitgehend mit den von Elastic Security Labs veröffentlichten Erkenntnissen. Anstatt bereits veröffentlichte Details zu wiederholen, erweitern wir diese Arbeit um zusätzliche Einblicke in die Struktur der internen Klassen der Malware.
Im Rahmen unserer Untersuchung identifizierten wir zwei Samples, die RTTI-Informationen enthielten, wodurch wir eine teilweise Klassenhierarchie rekonstruieren konnten. Diese Perspektive bietet einen tieferen Einblick in die Fähigkeiten von SPECTRALVIPER sowie in dessen zugrunde liegendes Architekturdesign.
Auf einer übergeordneten Ebene fungiert SPECTRALVIPER als aktive Backdoor, die über HTTPS mit ihrem C&C-Server kommuniziert. Die Kommunikation wird initiiert, indem ein Beacon an eine fest codierte Adresse gesendet wird, wobei ein vordefinierter User-Agent-Header verwendet wird, der verschlüsselte Host-Profiling-Daten enthält, die in den HTTP-Cookie-Header eingebettet sind und mit „euconsent-v2=“ oder „zd_cs_pm=“ vorangestellt sind.
Die C&C-Domainnamen scheinen für jede Kampagne sorgfältig gestaltet zu sein, um sich in den Netzwerkverkehr des Opfers einzufügen. So wurde beispielsweise financemachinelearning[.]com bei Operationen verwendet, die auf Aktienanleger abzielten, während gatewayrvcenter[.]com bei Aktivitäten beobachtet wurde, die auf das Netzwerk eines Infrastruktur- und Transportbauunternehmens abzielten.
SPECTRALVIPER unterstützt zudem die laterale Bewegung über ein Orchestrierungsmodell, bei dem eine Instanz als Orchestrator fungiert, der für die Kommunikation mit der C&C-Infrastruktur zuständig ist. Dieser Orchestrator verteilt Befehle über Named-Pipe-Kanäle an andere kompromittierte Hosts. Innerhalb des Quellcodes wird die Kommunikation zwischen Instanzen über Methoden wie XGU::Pivot::StartLink und XGU::Pivot::Internal::WaitNew_RemotePipe implementiert.
Die Analyse dieser Methodennamen legt nahe, dass XGU ein internes Framework darstellt, auf dem SPECTRALVIPER aufbaut. Die Unterklasse Pivot erbt von XGU und ist für die Orchestrierungsfunktionalität zuständig. Eine weitere wichtige Unterklasse, Feature, kapselt die Fernsteuerungsfunktionen der Malware, wie in Abbildung 8 dargestellt.
Über seine Rolle als Backdoor hinaus fungiert SPECTRALVIPER als leistungsfähiger Loader, der in der Lage ist, sich selbst – sowie zusätzliche Binärdateien oder Shellcode, die vom C&C empfangen werden – in Zielprozesse einzuschleusen. In beiden von uns analysierten Kampagnen war SPECTRALVIPER so konfiguriert, dass es zunächst in einer Loader-Rolle ausgeführt wurde und seine Backdoor-Komponente in einen separaten Prozess injizierte, anstatt auf einen eigenständigen Loader zurückzugreifen. Diese Funktionen zur Prozessmanipulation und -injektion werden über die Klassen „ProcessReflector“ und „ProcessManager“ implementiert, wie in Abbildung 9 dargestellt.
Fazit
In diesem Blogbeitrag haben wir aktuelle Informationen zu OceanLotus, einer mit Vietnam verbundenen APT-Gruppe, bereitgestellt. Unseren Telemetriedaten zufolge deuten die zwischen 2024 und 2026 beobachteten Aktivitäten darauf hin, dass die Gruppe ihren Fokus zunehmend auf Spionage im Inland legt. Wir beschreiben zwei Vorfälle aus diesem Zeitraum: einen Supply-Chain-Angriff unter Ausnutzung von FireAnt MetaKit, der sich gegen Aktienanleger in Vietnam richtete, sowie die Kompromittierung eines vietnamesischen Infrastruktur- und Verkehrsbauunternehmens. In beiden Fällen setzte OceanLotus seine charakteristische Backdoor SPECTRALVIPER auf den Systemen der Opfer ein. Bemerkenswert ist, dass aufgrund einer Lücke in der operativen Sicherheit (OPSEC) die RTTI-Namen in einer SPECTRALVIPER-Probe intakt blieben, was es uns ermöglichte, Aspekte der internen Architektur der Backdoor zu rekonstruieren.
Bei Fragen zu unseren auf WeLiveSecurity veröffentlichten Forschungsergebnissen kontaktieren Sie uns bitte unter threatintel@eset.com.ESET Research bietet private APT-Intelligence-Berichte und Datenfeeds an. Bei Fragen zu diesem Service besuchen Sie bitte die ESET Threat Intelligence -Seite.
IoCs
Eine umfassende Liste von Indikatoren für Kompromittierung (IoCs) und Samples finden Sie in unserem GitHub-Repository.
Dateien
| SHA‑1 | Filename | Detection | Description |
| 511B77459673EC42163F |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 59A8553A4F8130F576AB |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 9CA1A5C7F79882DB9135 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| A8E2BBBFCB86500322D2 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| F74F1FEB62B662CDA489 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| F8F8209987CA7F139DE6 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 19A69F856EFA811C376F |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 490194E9BB5128ECA869 |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 51176139B0B2220B802C |
setup.exe | Win32/Agent.AICB | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 91F042F59BE4BDCB6E5E |
setup.exe | Win32/Agent.AICB | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| A177ED0BFFEB1EFE1D9D |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| B7B2D2DB544F9EEA7445 |
setup.exe | Generik.CPNQYWW | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 4AD36AD6C165B5174967 |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 57352B3CEEE32216E5AA |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 9BC06DF9F932746A05EE |
setup.exe | Generik.ETQXXVN | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 865A1739337D3303B3AB |
system.config |
Win64/Agent.GFV | SPECTRALVIPER backdoor. |
| B0FEA981D02F6F76DE81 |
NotificationC |
Win64/Agent.HRA | SPECTRALVIPER backdoor. |
| 48FEBB91A10D1462461A |
DtlCrashCatch |
Win64/Agent.HRA | SPECTRALVIPER backdoor. |
| 150764A71DEEF498DE6F |
SetupUi.dll | Win32/Agent_AGen |
SPECTRALVIPER backdoor. |
Netzwerk
| IP | Domain | Hosting provider | First seen | Details |
| 38.60.245[.]37 | leadingfilipin |
Kaopu Cloud HK Limited | 2025‑10‑05 | SPECTRALVIPER C&C server. |
| 139.99.33[.]239 | coachcybersecu |
OVH Singapore PTE. LTD | 2025‑09‑20 | SPECTRALVIPER C&C server. |
| 139.162.11[.]152 | N/A | Akamai Connected Cloud | 2025‑10‑02 | SPECTRALVIPER hosting server. |
| 139.180.128[.]42 | gatewayrvcente |
IRT‑CHOOPALLC‑AP | 2025‑09‑20 | SPECTRALVIPER C&C server. |
| 142.91.98[.]77 | N/A | LEASEWEB SINGAPORE PTE. LTD. | 2025‑12‑03 | SPECTRALVIPER hosting server. |
| 166.88.77[.]186 | mxprodesign[.] |
Evoxt Enterprise | 2025‑06‑23 | SPECTRALVIPER C&C server. |
| 194.68.26[.]241 | financemachine |
M247 Europe SRL | 2025‑10‑30 | SPECTRALVIPER C&C server. |
MITRE ATT&CK-Techniken
Diese Tabelle wurde unter Verwendung der Version 19 des MITRE ATT&CK-Frameworks erstellt.
| Tactic | ID | Name | Description |
| Initial Access | T1195.002 | Supply Chain Compromise: Compromise Software Supply Chain | FireAnt MetaKit update servers were compromised. |
| T1190 | Exploit Public-Facing Application | Suspected Microsoft SQL RCE exploitation. | |
| Execution | T1059 | Command and Scripting Interpreter | SPECTRALVIPER was deployed using curl. |
| T1204 | User Execution | Users could have initiated the MetaKit update. | |
| Persistence | T1574.002 | Hijack Execution Flow: DLL Side-Loading | SPECTRALVIPER was executed via side-loading. |
| Defense Evasion | T1055 | Process Injection | SPECTRALVIPER can be injected into various processes. |
| T1036 | Masquerading | Side-loading hosts were renamed. | |
| T1027 | Obfuscated Files or Information | The malicious downloaders and the backdoor are heavily obfuscated. | |
| T1553.002 | Subvert Trust Controls: Code Signing | The absence of signature validation in FireAnt MetaKit update protocol was abused. | |
| Discovery | T1082 | System Information Discovery | The malicious downloaders and the backdoor profiled host machines. |
| Lateral Movement | T1570 | Lateral Tool Transfer | SPECTRALVIPER orchestration uses a named pipe. |
| T1021 | Remote Services | The SPECTRALVIPER orchestrator can distribute commands to other instances. | |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | SPECTRALVIPER and the downloader both use HTTPS. |
| T1573 | Encrypted Channel | All SPECTRALVIPER C&C communications are encrypted. | |
| T1105 | Ingress Tool Transfer | A fake update downloaded and executed SPECTRALVIPER. | |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | SPECTRALVIPER exfiltrates data over its C&C channel. |
