오션로터스, 파이어앤트 공격에서 스펙트럴바이퍼를 이용해 베트남 투자자를 공격.

출처: The Hacker News

베트남과 연계된 위협 행위자 **OceanLotus**가 SPECTRALVIPER라는 백도어를 이용해 국내 기관과 주식 투자자를 대상으로 한 두 개의 별도 캠페인과 연관된 것으로 확인되었습니다.

이 캠페인들은 2024년 중반부터 2026년 2월까지 베트남의 인프라·운송 건설 기업을 목표로 한 장기적인 사이버 스파이 활동과, 베트남 주식 투자자들이 많이 사용하는 인기 소프트웨어 플랫폼인 FireAnt Metakit을 악용한 공급망 공격을 포함합니다. 두 번째 활동 클러스터는 2025년 10월부터 2026년 3월까지 진행되었습니다.

ESET에 따르면, 두 차례의 공격은 운영 초점의 변화를 보여줍니다. 위협 행위자는 외부 표적보다 국내 스파이 활동에 점점 더 중점을 두고 있습니다. 2012년부터 활동해 온 이 그룹은 **중국을 표적**한 이력도 가지고 있습니다.

“이번 변화가 일시적인 조정인지 장기적인 전략 변화인지는 아직 명확하지 않지만, 15년 역사를 가진 이 APT 그룹은 여전히 공격적인 전술과 도구 제작에 있어 높은 수준의 교묘함을 보여주고 있다.”라고 슬로바키아 사이버보안 기업이 **보고서**에서 The Hacker News에 전했습니다.

이전 공격에서는 **워터링홀을 활용해 사이트 방문자를 디지털 프로파일링**하고, 2017·2018년에 미디어, 인권, 시민사회 관련 수백 명의 개인·조직을 집중 공략했습니다. 또한 **베트남 인권 옹호자와 반체제 인사들을 별도로 표적**한 사례도 있습니다.

2020년 12월, Meta는 **OceanLotus의 활동을 베트남 IT 기업인 CyberOne Group(또는 CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited)과 연결**시켰습니다. 해당 기업은 이를 부인했지만, 공개된 이후 그룹은 거의 3년간 모습을 감췄습니다.

그들의 주요 도구로는 **[SOUNDBITE](https://securelist.com