Ataque via FireAnt MetaKit
O grupo de ameaças OceanLotus (APT32), alinhado ao Vietnã, realizou dois ataques distintos que implantaram o backdoor SPECTRALVIPER em alvos domésticos entre meados de 2024 e março de 2026. O primeiro consistiu em uma operação de espionagem prolongada contra uma corporação vietnamita de infraestrutura e transporte; o segundo explorou a cadeia de suprimentos do FireAnt MetaKit, plataforma de dados de mercado usada por investidores da bolsa de valores, para distribuir o malware via atualização comprometida. Os ataques foram documentados pela ESET e revelam uma mudança operacional do grupo para espionagem doméstica.
Como o backdoor foi implantado
No ataque à cadeia de suprimentos, os operadores do OceanLotus comprometeram o servidor de atualização do FireAnt MetaKit em outubro de 2025. O arquivo de configuração em “metakit.fireant.vn/Software/version.xml” não possuía mecanismo de validação de integridade — ou seja, não verificava assinaturas do binário de atualização (“setup.exe”). Quando o Metakit.exe executou o downloader malicioso como se fosse uma atualização legítima, o downloader realizou reconhecimento do host e enviou os dados via HTTP POST para um servidor de preparação.
A partir daí, uma cadeia de DLL side-loading entrou em ação: um binário legítimo carregou uma DLL maliciosa (“DtlCrashCatch.dll”), que se injetou no processo OneDrive.Sync.Service.exe para acionar o SPECTRALVIPER. O backdoor contatou o servidor C2 “financemachinelearning.com” para transmitir informações criptografadas do host e receber comandos. A ESET não observou novas atualizações maliciosas após 9 de março de 2026, indicando que a campanha foi encerrada.
| Aspecto | Detalhe |
|---|---|
| Grupo | OceanLotus (APT32 / Canvas Cyclone) |
| Backdoor | SPECTRALVIPER |
| Vetor de acesso | Comprometimento do update do FireAnt MetaKit |
| Falha explorada | Ausência de validação de assinatura no update |
| Período da supply chain | Outubro 2025 – março 2026 |
| Servidor C2 | financemachinelearning[.]com |
| Alvo | Investidores de bolsa no Vietnã |
Espionagem à construtora
Em paralelo, o OceanLotus comprometeu uma empresa vietnamita de construção de infraestrutura e transporte a partir de novembro de 2024, mantendo acesso até fevereiro de 2026. O acesso inicial provavelmente envolveu a exploração de vulnerabilidades de execução remota de código em um servidor Microsoft SQL exposto publicamente. Três variantes diferentes do SPECTRALVIPER foram identificadas em múltiplos hosts comprometidos na mesma rede, contatando o C2 “gatewayrvcenter.com”. O backdoor facilita movimentação lateral e funciona como loader, injetando binários ou shellcode adicionais obtidos do servidor de comando em processos-alvo.
Implicações para cadeias de suprimentos
O ataque ao FireAnt MetaKit reforça um padrão crescente: atacantes não precisam explorar vulnerabilidades zero-day quando podem comprometer o mecanismo de atualização de software legítimo. A ausência de validação de integridade e assinatura no pipeline de update foi o único requisito para o sucesso da operação, similar ao que ocorreu na campanha Hades que comprometeu 37 pacotes do PyPI. Desenvolvedores de software devem implementar verificação de assinatura digital em todos os componentes de atualização. Empresas que consomem software de terceiros devem auditar os mecanismos de update e monitorar tráfego de saída para domínios desconhecidos a partir de processos legítimos, como recomendado em análises sobre atraso em updates para freiar ataques de supply chain.