文章总结： 本文详细分析了海莲花APT组织在2024至2026年的最新攻击活动，指出其战略重点已从对外网络间谍转向对内监控，并与越南国内反腐运动及金融监管行动存在关联。报告深度剖析了FireAntMetakit供应链攻击、针对越南基建交通公司的渗透事件，并解析了新型后门SpectralViper的架构与演进。最后，报告提供了MITREATT&CK技术映射及具体的检测与防御建议。 综合评分： 88 文章分类： 恶意软件,威胁情报,漏洞分析,apt攻击,供应链安全

海莲花APT组织最新攻击活动详细分析

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年6月14日 18:00 广东

在小说阅读器读本章

去阅读

目录

• 一、海莲花组织概述
• 二、2024-2026年攻击活动时间线
• 三、攻击战略转向分析：从对外间谍到对内监控
• 四、供应链攻击：FireAnt MetaKit事件深度剖析
• 五、企业渗透攻击：越南基建交通公司入侵事件
• 六、SPECTRALVIPER后门架构深度解析
• 七、海莲花工具链演进与对比
• 八、MITRE ATT&CK技术映射
• 九、检测与防御建议

一、海莲花组织概述

海莲花（OceanLotus），又称APT32，是一个被认为与越南政府利益高度关联的网络间谍组织。根据遥测数据，该组织的活动可追溯至2012年甚至更早，是东南亚地区持续时间最长、技术演进最活跃的APT组织之一。

1.1 组织画像

| 属性 | 详情 | | — | — | | 组织代号 | OceanLotus / APT32 / SeaLotus / APT-C-00 | | 疑似归属 | 越南政府 | | 活跃时间 | 2012年至今（超过15年） | | 主要目标 | 中国、东南亚（重点关注越南） | | 攻击动机 | 网络间谍、经济情报、国内监控 | | 技术水平 | APT级，持续创新工具链 | | 核心工具 | Denis/SOUNDBITE、PHOREAL、WINDSHIELD、SPECTRALVIPER | | 标志性特征 | 自研网络协议(DNS隧道/ICMP)、Cookie信标C&C、DLL侧载持久化 |

1.2 历史重大攻击事件

| 时间 | 事件 | 目标 | 技术特征 | | — | — | — | — | | 2017-2018 | 大规模水坑攻击 | 东南亚多国政府/媒体 | 网站注入恶意JS | | 2019 | 入侵BMW/现代汽车 | 跨国企业 | 鱼叉钓鱼+后门 | | 2019 | 针对越南异见人士 | 德国境内越南人 | 社工+恶意软件 | | 2019-2020 | 针对人权捍卫者 | 越南人权活动家 | Click-and-Bait攻击 | | 2020 | 针对武汉市政府 | 中国政府机构 | COVID-19主题钓鱼 | | 2020 | 前台公司被Facebook曝光 | 组织基础设施 | OPSEC失误 | | 2023 | SPECTRALVIPER首次披露 | 越南企业 | 新型后门+编排能力 | | 2025 | PyPI供应链攻击 | Python开发者 | 恶意wheel包 | | 2025-2026 | FireAnt MetaKit供应链攻击 | 越南股票投资者 | 软件更新劫持 | | 2024-2026 | 越南基建交通公司渗透 | 越南大型企业 | MSSQL RCE+横向移动 |

二、2024-2026年攻击活动时间线

2024年
  ├─ 07月  SPECTRALVIPER C&C域名注册(coachcybersecurity.com / mxprodesign.com)
  ├─ 07月  越南基建交通公司网络被渗透(初始入侵)
  ├─ 11月  基建交通公司网络中SPECTRALVIPER大规模部署
  │
2025年
  ├─ 06月  C&C域名mxprodesign.com首次活跃
  ├─ 07月  PyPI供应链攻击(疑似海莲花,恶意wheel包)
  ├─ 09月  C&C域名gatewayrvcenter.com / coachcybersecurity.com活跃
  ├─ 10月  FireAnt MetaKit供应链攻击开始(10月2日首现恶意载荷)
  ├─ 10月  C&C域名financemachinelearning.com注册(针对股票投资者)
  ├─ 10月  下载器从测试版迭代为稳定版(10月17日)
  ├─ 10月  越南金融监管机构揭露70家公司债券销售造假
  ├─ 12月  中转服务器迁移(142.91.98.77)
  │
2026年
  ├─ 01月  基建交通公司网络中SPECTRALVIPER仍在活跃
  ├─ 02月  基建交通公司渗透活动结束
  ├─ 03月  FireAnt供应链攻击结束(3月9日后无恶意更新)
  ├─ 06月  ESET发布完整分析报告

三、攻击战略转向分析：从对外间谍到对内监控

3.1 转向时间节点

海莲花攻击战略演变:

2012-2017 ──── 对外间谍为主 ────→ 针对中国/东南亚的广泛网络间谍
    │                                水坑攻击/鱼叉钓鱼/大规模数字画像
    │
2017-2020 ──── 高调期 ────→ 多家安全厂商公开报告
    │                     BMW/现代入侵/越南异见人士/武汉政府
    │                     Facebook公开曝光前台公司
    │
2020 ──── 转折点 ────→ 前台公司被曝光后活动明显收缩
    │                     公开报道大幅减少
    │                     对外行动更加选择性
    │
2023-2026 ──── 对内监控为主 ────→ SPECTRALVIPER部署
                          针对越南国内企业/股票投资者
                          与越南"烈火熔炉"反腐运动关联

3.2 转向驱动因素

| 因素 | 影响 | 证据 | | — | — | — | | 前台公司曝光 | 对外行动更加谨慎和选择性 | 2020年Facebook公开识别前台公司 | | “烈火熔炉”反腐运动 | 国内监控需求激增 | 越南共产党2016年启动反腐，2025年处分9600名党员 | | 金融市场改革 | 需要监控股票市场违法行为 | 2025年10月揭露70家公司债券造假 | | 政治高层动荡 | 加强对商业精英的情报收集 | 2023年以来两位总统因腐败丑闻辞职 | | 技术能力积累 | SPECTRALVIPER编排能力适合长期渗透 | 支持Orchestrator模式+命名管道横向移动 |

3.3 对内监控与反腐运动的关联

越南”烈火熔炉”（Blazing Furnace）反腐运动是理解海莲花攻击转向的关键背景：

"烈火熔炉"反腐运动关键事件:
  2016年  越南共产党启动反腐运动
  2023年  越南总统武文赏因腐败丑闻辞职
  2023年  另一总统阮春福因关联丑闻辞职
  2025年  党内处分9600名党员(腐败/经济犯罪/滥用职权)
  2025年10月  金融监管机构揭露70家公司债券销售造假
           → 越南主要股指暴跌5.5%
           → 同期海莲花攻击FireAnt股票交易应用

核心判断：海莲花的FireAnt供应链攻击很可能与越南执法部门对腐败和金融犯罪的调查行动有关。攻击时间与金融监管行动高度重合，目标群体（股票投资者）与金融犯罪调查对象高度一致。

四、供应链攻击：FireAnt MetaKit事件深度剖析

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《海莲花APT组织最新攻击活动详细分析》