海莲花(OceanLotus)
海莲花(OceanLotus),又称APT32、APT-Q-31、SeaLotus,是一个被认为具有越南国家背景的高级持续性威胁(APT)组织。该组织由奇安信红雨滴团队(前身为天眼实验室)于2015年最早披露并命名[^c1],其攻击活动最早可追溯到2012年4月[^c2]。海莲花长期针对中国、东南亚多国的政府机构、科研院所、海事部门、大型企业以及越南国内的人权活动人士和异见分子发动网络间谍攻击,是近年来针对中国大陆进行攻击活动最活跃的APT组织之一[^c3]。
海莲花的攻击手法高度成熟,擅长鱼叉式钓鱼攻击和水坑攻击,并自2018年起开始采用供应链攻击手段渗透高价值目标[^c4]。该组织拥有覆盖Windows、macOS、Linux和Android多平台的恶意软件武器库,常用工具包括Denis(SOUNDBITE)DNS隧道后门、PHOREAL ICMP协议后门、SPECTRALVIPER模块化后门,以及Cobalt Strike等商业渗透工具[^c5]。在初始入侵方面,海莲花大量使用DLL侧加载(白加黑)技术、恶意Office宏、MSC文件漏洞利用和GrimResource技术等多样化手段规避安全检测。
2020年12月,Facebook公开曝光了被认定为海莲花掩护实体的越南IT公司CyberOne Group,并禁用了与该组织相关的伪造社交账号网络[^c6]。此后该组织的外部活动一度转趋静默,但于2023年以新型后门SPECTRALVIPER重新进入行业视野。2024年至2026年的最新监测显示,海莲花出现了战略重心调整,从以中国和东南亚为主要目标的外部间谍活动,转向加强对越南国内基建企业和金融科技公司的监控,这一转变与越南国内"熔炉"反腐运动的时间线高度重合[^c7]。