Image credit: magnific
OceanLotus Targetkan Investor Saham – Kelompok peretas tingkat tinggi (Advanced Persistent Threat/APT) yang berafiliasi dengan kepentingan Vietnam, OceanLotus, dilaporkan tengah mengubah arah kompas operasionalnya secara drastis.
Berdasarkan pemantauan aktivitas siber yang terekam sepanjang periode tahun 2024 hingga awal 2026, kelompok yang juga dikenal dengan nama APT32 ini mulai mengurangi intensitas serangan luar negerinya demi memperkuat fokus pada spionase domestik.
Para peneliti keamanan siber berhasil mengidentifikasi dua kampanye spionase besar dan agresif yang dilancarkan oleh OceanLotus.
Kedua serangan tersebut mengandalkan senjata siber andalan terbaru mereka, sebuah pintu belakang (backdoor) canggih bernama SPECTRALVIPER.
Kampanye pertama merupakan serangan rantai pasok (supply-chain attack) yang membidik para investor saham di Vietnam.
Sedangkan kampanye kedua berupa operasi penyusupan berkepanjangan yang melumpuhkan jaringan internal perusahaan konstruksi infrastruktur dan transportasi raksasa milik negara tersebut.
|
Baca juga: Serangan Kredensial Disukai Peretas |
Redesain Target Pasca Kebocoran
OceanLotus merupakan aktor siber kawakan yang rekam jejak kejahatannya telah terendus oleh para peneliti sejak tahun 2012. Antara tahun 2017 hingga 202.
Kelompok ini sempat menjadi sorotan dunia menyusul rentetan infiltrasi masif terhadap raksasa otomotif dunia seperti BMW dan Hyundai.
Serta spionase politik yang menyasar pemerintah kota Wuhan di Cina, hingga aksi peretasan terhadap aktivis hak asasi manusia (HAM) Vietnam di Jerman.
Namun, roda operasional kelompok ini sempat tersendat pada akhir tahun 2020 ketika raksasa teknologi Facebook secara terbuka membongkar identitas mereka.
Yakni perusahaan cangkang (front company) yang digunakan OceanLotus sebagai kedok fisik operasi mereka di Hanoi.
Pasca paparan publik tersebut, intensitas serangan luar negeri kelompok ini menurun drastis.
Kronologi Evolusi Perangkat Siber Jahat Oceanlotus (Apt32)
- [2017] DENIS (SOUNDBITE) ──> Eksploitasi DNS Tunneling Jalur C2
- [2019] PHOREAL ──> Manipulasi ICMP Protokol Latar Belakang
- [2020] WINDSHIELD ──> Teknik Pemby-passan Proksi Otomatis
- [2024] SPECTRALVIPER ──> Sistem Orkestrasi Multi-Proses & Otonom
Kelompok ini baru kembali terdeteksi mematangkan arsenal siber baru mereka lewat kemunculan SPECTRALVIPER.
Berdasarkan telemetry siber terbaru per Februari 2026, OceanLotus resmi mematangkan realignment operasional mereka dengan berfokus penuh pada target dalam negeri.
Pergeseran ini ditengarai kuat beriringan dengan manuver politik pemerintah Vietnam yang sedang gencar meluncurkan kampanye anti-korupsi besar-besaran bernama Blazing Furnace untuk membersihkan jajaran pejabat publik dan pebisnis nakal.
Menyusup via Platform Investasi Saham
Serangan paling taktis dari OceanLotus menyasar ekosistem finansial melalui manipulasi platform FireAnt MetaKit perangkat lunak penyedia data pasar saham real-time.
Yang diadopsi secara luas oleh investor ritel maupun institusi di Vietnam untuk dihubungkan ke aplikasi analisis teknikal seperti AmiBroker dan MetaTrader.
Para peneliti mendeteksi muatan berbahaya pertama kali keluar langsung dari URL pembaruan resmi milik FireAnt ([http://metakit.fireant](http://metakit.fireant)[.]vn/Software/setup.exe) pada tanggal 2 Oktober 2025.
Penyelidikan mendalam menyingkap bahwa server pembaruan resmi milik FireAnt telah berhasil dikompromi oleh OceanLotus akibat rapuhnya sistem validasi.
File konfigurasi pembaruan (version.xml) milik platform tersebut sama sekali tidak memiliki mekanisme validasi integritas kode digital (signature validation), serta masih menggunakan protokol HTTP usang yang tidak terenkripsi SSL/TLS.
Alur Eksekusi Serangan Supply-Chain Platform Fireant
- Aplikasi Metakit.exe mengunduh file setup.exe beracun dari server.
- Downloader mengeksekusi metode DLL Sideloading via dtlupdate.exe.
- File DtlCrashCatch.dll (SPECTRALVIPER) menyusup ke proses OneDrive.
- Beacon dikirim ke domain palsu financemachinelearning[.]com.
Meskipun potensi dampak infeksi dari platform investasi ini tergolong masif, OceanLotus bergerak sangat selektif.
Mereka menggunakan versi penapis (downloader) awal tanpa enkripsi untuk memetakan profil perangkat gawai korban, sebelum akhirnya menyuntikkan muatan stabil SPECTRALVIPER.
Muatan SPECTRALVIPER ini adalah yang telah tersandi berat hanya kepada segelintir investor kelas kakap yang menjadi target intelijen spesifik mereka.
Guna menyamarkan jalur komunikasi data curian agar membaur dengan lalu lintas jaringan normal korporasi, peretas menggunakan domain samaran khusus bernuansa keuangan, yakni financemachinelearning[.]com.
|
Baca juga: Kucing Hitam Pasang Iklan Jebakan |
Lewat Celah Microsoft SQL
Paralel dengan serangan investor, OceanLotus melancarkan operasi intrusi persisten yang menargetkan korporasi konstruksi transportasi dan infrastruktur nasional Vietnam sejak November 2024 hingga awal tahun 2026. Para peneliti mengindikasikan bahwa gerbang
masuk utama yang dieksploitasi peretas untuk menembus perimeter pertahanan perusahaan tersebut adalah celah keamanan eksekusi kode jarak jauh (Remote Code Execution/RCE) pada server Microsoft SQL milik perusahaan yang tidak ditambal.
Di dalam jaringan internal korporasi tersebut, OceanLotus menanam berbagai varian file eksekusi seperti:
- Genuine.exe.
- Updater.exe.
- AutoCAD242.exe.
Berkas-berkas tersebut sebenarnya merupakan salinan dari biner legal yang telah ditandatangani digital bernama Toolbox.exe.
Peretas memanfaatkan parameter baris perintah -uiDll bawaan biner tersebut untuk memicu eksekusi DLL Sideloading, memaksa sistem memuat SPECTRALVIPER sebagai modul pemuat (loader) yang kemudian menyuntikkan kode spionase ke dalam proses inti komputer.
Dalam operasi ini, peretas menyiapkan infrastruktur server C2 yang berbeda-beda untuk menghindari deteksi perimeter, seperti domain coachcybersecurity[.]com dan power-sync-services[.]com.
Anatomi Arsitektur INTERNAL SPECTRALVIPER
Sebuah kecerobohan operasional (OPSEC mistake) yang dilakukan oleh agen OceanLotus menjadi keuntungan besar bagi tim pertahanan siber dunia.
Dalam salah satu sampel malware yang disebarkan, peretas lupa menghapus informasi RTTI (Run-Time Type Information). Kelalaian ini memberikan kesempatan bagi para peneliti untuk melakukan rekonstruksi hierarki kelas internal dan membedah cetak biru arsitektur asli dari SPECTRALVIPER.
Arsitektur Kelas Internal Spectralviper
- [XGU Framework] ──> Kerangka Kerja Utama Dasar Malware [XGU::Pivot] ──> Orkestrasi Model Lateral Movement
- (Komunikasi antar-gawai via Pipes)
- [XGU::Feature] ──> Enkapsulasi Fungsi Kendali Jarak Jauh
Berdasarkan struktur kode yang dibongkar, SPECTRALVIPER beroperasi di bawah kerangka kerja internal yang dinamakan XGU. Subkelas XGU::Pivot bertanggung jawab penuh terhadap kapabilitas pergerakan lateral (lateral movement) menggunakan model orkestrasi.
Melalui metode seperti XGU::Pivot::StartLink, satu perangkat yang terinfeksi dapat ditunjuk sebagai komandan (orchestrator) untuk mendistribusikan perintah baru ke gawai lain di dalam jaringan lokal melalui saluran pipa bernama (named pipes).
Sementara itu, subkelas XGU::Feature mengemas seluruh kemampuan kontrol jarak jauh, didukung oleh komponen kelas ProcessManager dan ProcessReflector.
Komponen ini bertugas melakukan manipulasi proses serta menyuntikkan kode shellcode berbahaya langsung ke dalam memori aplikasi Windows yang sah.
|
Baca juga: SIM Farm Industri Pencurian Kredensial |
Strategi Mitigasi Terintegrasi
Mengingat agresivitas OceanLotus dalam memanipulasi rantai pasok perangkat lunak serta mengeksploitasi biner legal pihak ketiga, organisasi wajib menegakkan kerangka kerja keamanan siber proaktif sebagai berikut:
- Audit dan Validasi Integritas Jalur Pembaruan: Setiap institusi harus menghentikan adopsi aplikasi bisnis yang menggunakan jalur pembaruan tidak aman (HTTP tanpa enkripsi). Pastikan setiap pembaruan perangkat lunak wajib melewati gerbang validasi tanda tangan digital (signature verification) yang ketat sebelum diizinkan berjalan di latar belakang.
- Pengerasan Server Basis Data (Database Hardening): Guna memotong vektor akses RCE seperti yang menimpa perusahaan konstruksi Vietnam, tim TI harus rutin melakukan pemindaian kerentanan pada server Microsoft SQL, menerapkan penambalan (patching) berkala, serta mengisolasi server basis data dari akses internet publik secara langsung.
- Pantau Anomali Komunikasi Named Pipes dan Protokol: Konfigurasikan sistem pemantauan jaringan internal untuk mendeteksi aktivitas komunikasi named pipes yang tidak lazim antar-komputer karyawan, yang menjadi indikasi kuat berjalannya model orkestrasi lateral movement milik subkelas XGU::Pivot.
- Implementasi Sistem Pemindaian File Berbasis Reputasi: Nyalakan alarm peringatan otomatis terhadap munculnya biner sistem yang tiba-tiba berjalan dari direktori yang tidak wajar (seperti file IntelAudioService.exe atau vlc.exe palsu yang diletakkan di folder temporer), serta blokir akses ke domain indikator kompromi seperti gatewayrvcenter[.]com dan financemachinelearning[.]com.
Kelompok Paling Licik
Bermutasi menjadi penyerang domestik yang sangat selektif dan rapi menunjukkan bahwa OceanLotus tetap menjadi salah satu kelompok APT paling licik dan berbahaya di kawasan Asia Tenggara.
Keberhasilan mereka meracuni rantai pasok aplikasi finansial dan mengeksploitasi celah server basis data membuktikan bahwa perlindungan perimeter konvensional sudah tidak lagi memadai.
Menghadapi kelompok peretas yang didukung penuh oleh sumber daya matang, ketahanan siber organisasi hanya dapat dipertahankan melalui:
- Adopsi prinsip Zero Trust.
- Pemantauan perilaku memori gawai secara real-time.
- Serta evaluasi ketat terhadap kredibilitas setiap ekosistem digital yang terhubung dalam operasional bisnis sehari-hari.
Demikian informasi mengenai Investor Saham Dibidik Para Peretas, semoga dapat menjadi wawasan dan menambah pengetahuan tentang kejahatan siber.
Sumber berita:
