Наше отслеживание деятельности OceanLotus в период с 2024 по 2026 год выявило сдвиг в оперативном фокусе. В течение этого периода связанная с Вьетнамом группа OceanLotus стала применять более избирательный подход к внешним операциям, уделяя при этом все большее внимание внутреннему шпионажу. Мы выявили две отдельные кампании с использованием бэкдора SPECTRALVIPER: атаку на цепочку поставок, направленную против инвесторов фондового рынка во Вьетнаме, и длительную шпионскую операцию против вьетнамской компании, занимающейся строительством инфраструктуры и транспорта.
Остается неясным, является ли этот сдвиг временной корректировкой или долгосрочным стратегическим изменением; однако эта 15-летняя APT-группа продолжает демонстрировать агрессивные тактики и высокий уровень изощренности в использовании своих инструментов.
Ключевые моменты этой статьи:
- С середины 2024 года по февраль 2026 года OceanLotus с помощью своего фирменного импланта SPECTRALVIPER взломала сеть вьетнамской корпорации, занимающейся строительством инфраструктуры и транспорта.
- С октября 2025 года по март 2026 года OceanLotus провела атаку на цепочку поставок с использованием FireAnt Metakit — программной платформы, широко используемой инвесторами на фондовом рынке Вьетнама.
- Несмотря на широкий потенциальный охват такой атаки, мы обнаружили лишь нескольких человек, которые в конечном итоге получили SPECTRALVIPER, что указывает на избирательный подход к выбору целей.
- Ошибка в области оперативной безопасности (OPSEC) позволила нам получить представление об архитектуре SPECTRALVIPER изнутри.
Профиль OceanLotus
OceanLotus, также известная как APT32, — это группа кибершпионов, предположительно связанная с интересами вьетнамского правительства. Согласно нашей телеметрии, активность, приписываемая этой группе, датируется 2012 годом и, возможно, более ранним периодом. OceanLotus в основном нацелена на Китай и Юго-Восточную Азию (с акцентом на Вьетнам); она была связана с различными операциями, начиная от массивной кампании по цифровому профилированию и заканчивая высокоцелевыми атаками против вьетнамских правозащитников.
OceanLotus известна постоянными инновациями и расширением своего арсенала бэкдоров для Windows и Linux, часто внедряя уникальные сетевые протоколы или адаптируя возможности сбора данных к конкретным оперативным целям. К его известным инструментам относятся Denis (также известный как SOUNDBITE), реализующий DNS-туннелирование для связи с командно-контрольным сервером; PHOREAL, использующий протокол ICMP для связи с командно-контрольным сервером; WINDSHIELD, отличающийся интересным механизмом обхода прокси; и его новейший бэкдор SPECTRALVIPER, включающий возможности оркестрации.
OceanLotus: разоблачение и переориентация
В период с 2017 по 2020 год OceanLotus привлек значительное внимание общественности после появления множества отчетов, подробно описывающих его кибершпионскую деятельность. Среди них были крупномасштабные атаки типа «водопой», направленные на Юго-Восточную Азию в 2017–2018 годах, вторжения в такие корпорации, как BMW и Hyundai, в 2019 году, а также атака на вьетнамского диссидента в Германии в том же году. Группа также была связана с операциями против правозащитников в 2019–2020 годах, а также со шпионажем, направленным против муниципального правительства Ухани в 2020 году.
Однако в 2020 году деятельность группы потерпела неудачу, когда Facebook публично раскрыл компанию, которая, как полагают, использовалась в качестве прикрытия для OceanLotus. После этого раскрытия количество публикаций о группе значительно сократилось, и в течение нескольких лет ее деятельности уделялось сравнительно мало внимания.
OceanLotus вновь появилась в поле зрения общественности в 2023 году после публикации отчета Elastic Security Labs, в котором описывалась атака с использованием ранее не задокументированного бэкдора под названием SPECTRALVIPER, направленная против вьетнамских компаний. На этой основе в нашем исследовании анализируется более поздняя деятельность группы, наблюдавшаяся с середины 2024 года по начало 2026 года. В течение этого периода мы выявили две отдельные кампании, в которых в качестве основного бэкдора использовался SPECTRALVIPER, но профили целевых жертв были совершенно разными.
Первая кампания была направлена на взлом инфраструктуры и транспортно-строительной корпорации. Это вторжение началось в середине 2024 года и продолжалось до января 2026 года.
Вторая кампания представляла собой атаку на цепочку поставок, которая началась в конце 2025 года и продолжалась до марта 2026 года. В ходе этой операции OceanLotus взломала сервер обновлений FireAnt Metakit, вьетнамской платформы для инвестиций в акции, и заменила легитимные обновления программного обеспечения вредоносным кодом, который в конечном итоге развернул SPECTRALVIPER. По всей видимости, эта кампания была направлена против инвесторов в акции и может быть связана с недавними усилиями Вьетнама по продвижению реформ рынка ценных бумаг, что предполагает возможную связь с целями внутреннего мониторинга или расследований.
Наконец, в июле 2025 года атака на цепочку поставок, связанная с загрузкой вредоносных пакетов wheel в Python Package Index (PyPI), была приписана OceanLotus. Однако наша телеметрия не выявила никаких пострадавших, и у нас нет достаточной информации, чтобы независимо подтвердить эту атрибуцию.
В целом имеющиеся данные указывают на потенциальное изменение оперативных моделей OceanLotus. После раскрытия информации о ее физической подставной компании в 2020 году группа, по-видимому, стала применять более избирательный подход к внешнему шпионажу, уделяя все больше внимания внутренним целям.
Контекст этой кампании
Стоит отметить, что последние действия OceanLotus, по-видимому, согласуются с различными недавними событиями, происходящими на внутренней арене Вьетнама.
В последние годы вьетнамские власти начали масштабную кампанию по борьбе с коррупцией — программу под названием «Пылающая печь». Подобно масштабной антикоррупционной кампании Си Цзиньпина в Китае, эта инициатива, запущенная Коммунистической партией Вьетнама, призвана продемонстрировать населению, что партия готова и способна очистить свои ряды для поддержания своей легитимности. С 2016 года эта политика привела к нескольким громким судебным процессам с участием партийных чиновников или бизнесменов, обвиняемых в подкупе политиков. Более того, с 2023 года два вьетнамских президента были даже вынуждены уйти в отставку после того, как их публично связали с коррупционными скандалами. Только в 2025 году партия, по имеющимся данным , наложила санкции на 9 600 своих членов по делам, связанным с коррупцией, экономическими преступлениями и злоупотреблением служебным положением.
В этом контексте представляется вероятным, что в настоящее время вьетнамские силовые структуры задействуют все более значительные ресурсы для борьбы с коррупцией (и финансовыми преступлениями в более широком смысле). Мы полагаем, что OceanLotus может быть каким-то образом связана с этими усилиями и что это может быть еще одной причиной, стоящей за явной переориентацией группы на внутреннюю разведку и слежку в течение последних двух лет. Фактически, две цели, которые мы выявили в рамках этой кампании, перекликаются с судебными эпопеями, недавно всколыхнувшими общественную арену Вьетнама.
Например, в конце октября 2025 года агентство финансового регулирования Вьетнама сообщило, что около 70 крупных национальных компаний в течение последнего десятилетия предоставляли неверные отчеты о продажах облигаций — это открытие привело к падению основного фондового индекса страны на 5,5%. Это заявление позволяет предположить, что в то время, когда было обнаружено, что OceanLotus взломал приложение для торговли акциями FireAnt, вьетнамские правоохранительные органы, возможно, проводили широкомасштабные следственные мероприятия в отношении фондового рынка страны.
Исходя из этих фактов, мы полагаем, что атака OceanLotus на цепочку поставок, вероятно, была проведена в рамках текущих следственных действий по борьбе с коррупцией и финансовыми преступлениями во Вьетнаме.
Нацеленность на инвесторов фондового рынка
Цепочка поставок
По нашим оценкам, атака на цепочку поставок FireAnt началась примерно в октябре 2025 года и продолжалась до марта 2026 года. В течение этого периода мы выявили нескольких инвесторов, подвергшихся воздействию атаки на цепочку поставок; однако лишь небольшая часть из них в конечном итоге получила бэкдор SPECTRALVIPER. Наша команда неоднократно пыталась уведомить FireAnt об инциденте, но не получила ответа.
FireAnt — это вьетнамская финтех-компания, которая предлагает платформу с данными фондового рынка, аналитикой и инструментами поддержки инвестиций как для частных, так и для институциональных инвесторов. Она считается одной из ведущих цифровых инвестиционных платформ во Вьетнаме, предоставляя рыночные данные в реальном времени, функции технического анализа и аналитику на основе искусственного интеллекта, а также сообщество, где инвесторы могут обмениваться информацией и мнениями. В рамках этой экосистемы FireAnt MetaKit представляет собой специализированный программный компонент, ориентированный на доставку данных. Он предназначен для предоставления данных финансовых рынков в режиме реального времени и исторических данных непосредственно платформам технического анализа, таким как AmiBroker, MetaStock и MetaTrader.
2 октября 2025 года мы обнаружили первый вредоносный полезный груз, исходящий с легитимного URL-адреса обновления FireAnt MetaKit http://metakit.fireant[.]vn/Software/setup.exe. Домен разрешался в подлинный IP-адрес сервера обновлений FireAnt, что указывает на сценарий взлома цепочки поставок. Наш анализ этого полезного груза выявил загрузчик первой итерации, что указывает на то, что эта активность, вероятно, представляет собой раннюю стадию кампании, на которой OceanLotus тестировала механизм доставки на первых жертвах. В таблице 1 мы сравниваем этот первоначальный загрузчик со стабильной версией, наблюдавшейся позднее в ходе кампании.
Таблица 1. Сравнение тестовой и стабильной версий загрузчика
| Критерии | Первая итерация | Стабильная версия |
| Первое появление | 02.10.2025 | 17.10.2025 |
| Обфускация кода | Нет | Сильно обфускация |
| Загрузка на следующем этапе | Жестко запрограммированные URL-адреса | Запрос API |
| Полезная нагрузка | Старый образец SPECTRALVIPER, который появлялся в предыдущей кампании. | Новые образцы SPECTRALVIPER. |
| Инфраструктура | Повторно использована из предыдущей кампании. | Новая инфраструктура. Домен C&C SPECTRALVIPER financemachinelearning |
Помимо наблюдения за полезными нагрузками, доставляемыми напрямую с сервера обновлений FireAnt, мы выявили недостатки в протоколе обновления, используемом программным обеспечением FireAnt MetaKit. В частности, в файле конфигурации обновления по адресу http://metakit.fireant.vn/Software/version.xml отсутствует какой-либо механизм проверки целостности, как показано на рисунке 1.
Во-вторых, отсутствие шифрования SSL/TLS в сетевом протоколе, используемом для получения как файла version.xml, так и любого обновленного бинарного файла, делает FireAnt MetaKit уязвимым для атак перехвата; однако мы не наблюдали, чтобы OceanLotus использовал эту технику в данной кампании.
Цепочка выполнения
Из-за отсутствия проверки подписи Metakit.exe запустил вредоносный загрузчик как легитимное обновление. После запуска загрузчик выполнил базовую разведку хоста и передал собранную информацию через HTTP-запрос POST на промежуточный сервер, запросив полезную нагрузку следующего этапа (рис. 2).
Во всех проанализированных образцах API загрузки V1/Update/GetUpdate оставался неизменным. Однако промежуточная инфраструктура со временем претерпела изменения: серверы C&C изначально размещались по адресу 139.162.11[.]152, а затем были перенесены на 142.91.98[.]77.
На последующем этапе загрузчик развернул цепочку боковой загрузки с участием DtlCrashCatch.dll, который представляет собой SPECTRALVIPER, настроенный в качестве загрузчика, и сопутствующего исполняемого файла IntelAudioService.exe. Последний запускался с помощью команды:
C:Users[redacted]IntelAudioServiceIntelAudioService.exe /appmodel /StateRepository /Service
Анализ показал, что IntelAudioService.exe на самом деле является копией легитимного, подписанного исполняемого файла dtlupdate.exe, как показано на рисунке 3.
После запуска DtlCrashCatch.dll внедряется в процесс OneDrive.Sync.Service.exe, что позволяет ему работать в режиме бэкдора. Затем бэкдор отправляет запрос-маячок на жестко запрограммированный URL https://financemachinelearning[.]com/apparatus/wind/twig/statement.html, встраивая зашифрованную информацию о хосте в заголовок HTTP-куки. Раньше эти данные начинались с префикса euconsent-v2=; однако в этой кампании мы заметили использование префикса zd_cs_pm= (рис. 4), что стало первым случаем использования этого варианта.
Полная цепочка выполнения представлена на рис. 5.
С9 марта 2026 года мы не наблюдали дальнейшего распространения вредоносных обновлений через скомпрометированный канал, что позволяет предположить, что атака на цепочку поставок, вероятно, завершилась.
Нацеленность на крупную корпорацию
По нашим оценкам, взлом корпоративной сети вьетнамской компании, занимающейся строительством инфраструктуры и транспорта, начался еще в ноябре 2024 года и продолжался до февраля 2026 года. Хотя первоначальный вектор доступа не был непосредственно обнаружен, наш анализ публичных серверов жертвы позволяет предположить, что злоумышленник, возможно, воспользовался уязвимостями удаленного выполнения кода (RCE) в сервере Microsoft SQL для установления первоначального плацдарма.
В течение этого периода мы выявили несколько вариантов SPECTRALVIPER, развернутых по всей сети, использующих как общие, так и отдельные C&C-серверы. Примечательно, что эти развертывания демонстрировали незначительные вариации, возможно, адаптированные к средам скомпрометированных хостов (рис. 6).
Файлы Genuine.exe, Updater.exe и AutoCAD242.exe на рис. 6 являются вариантами одного и того же легитимного и подписанного исполняемого файла Toolbox.exe (рис. 7), и все они требуют параметра командной строки -uiDll для правильной работы механизма боковой загрузки. Как и в случае с атакой на цепочку поставок, боковой загрузкой DLL является SPECTRALVIPER в конфигурации загрузчика, который впоследствии внедряет бэкдор SPECTRALVIPER в процесс хоста.
В таблице 2 перечислены домены C&C, обнаруженные в ходе данного инцидента.
Таблица 2. Домены C&C SPECTRALVIPER, обнаруженные в ходе инцидента
| Домен C&C | IP | Впервые обнаружен |
| gatewayrvcenter[.]com | 139.180.128[.]42 | 20.09.2025 |
| coachcybersecurity[.]com | 139.99.33[.]239 | 08.07.2024 |
| mxprodesign[.]com | 166.88.77[.]186 | 12.07.2024 |
| power-sync-services[.]com | 103.119.47[.]104 | 2024-07-06 |
SPECTRALVIPER: структурный обзор
Наш анализ SPECTRALVIPER в значительной степени совпадает с выводами, о которых сообщила компания Elastic Security Labs. Вместо того чтобы повторять ранее опубликованные детали, мы расширяем эту работу, предоставляя дополнительную информацию о структуре внутренних классов вредоносного ПО.
В ходе нашего расследования мы выявили два образца, содержащих информацию RTTI, что позволило нам реконструировать частичную иерархию классов. Такой подход дает более глубокое представление о возможностях SPECTRALVIPER, а также о его базовой архитектуре.
На высоком уровне SPECTRALVIPER работает как активный бэкдор, обменивающийся данными со своим C&C-сервером по HTTPS. Он инициирует связь, отправляя сигнал на жестко запрограммированный адрес с использованием заранее определенного заголовка User-Agent, при этом зашифрованные данные профилирования хоста встраиваются в заголовок HTTP Cookie и имеют префикс euconsent-v2= или zd_cs_pm=.
Доменные имена C&C, по-видимому, тщательно подбираются для каждой кампании, чтобы слиться с сетевым трафиком жертвы. Например, домен financemachinelearning[.]com использовался в операциях, нацеленных на инвесторов фондового рынка, в то время как домен gatewayrvcenter[.]com был замечен в деятельности, нацеленной на сеть компании, занимающейся строительством инфраструктуры и транспорта.
SPECTRALVIPER также поддерживает латеральное перемещение через модель оркестрации, в которой один экземпляр назначается оркестратором, ответственным за связь с инфраструктурой C&C. Этот оркестратор распределяет команды другим скомпрометированным хостам через каналы именованных каналов. В кодовой базе межэкземплярная коммуникация реализована с помощью таких методов, как XGU::Pivot::StartLink и XGU::Pivot::Internal::WaitNew_RemotePipe.
Анализ названий этих методов позволяет предположить, что XGU представляет собой внутренний фреймворк, лежащий в основе SPECTRALVIPER. Подкласс Pivot наследуется от XGU и отвечает за функциональность оркестрации. Другой ключевой подкласс, Feature, инкапсулирует возможности удаленного управления вредоносным ПО, как показано на рисунке 8.
класса
Помимо своей роли бэкдора, SPECTRALVIPER функционирует как мощный загрузчик, способный внедрять себя — а также дополнительные бинарные файлы или шелл-код, полученные от C&C-сервера, — в целевые процессы. В обеих проанализированных нами кампаниях SPECTRALVIPER был настроен на первоначальное выполнение в роли загрузчика, внедряя свой бэкдор-компонент в отдельный процесс, а не полагаясь на автономный загрузчик. Эти возможности манипулирования процессами и внедрения реализованы с помощью классов ProcessReflector и ProcessManager, как показано на рисунке 9.
Заключение
В этом блоге мы представили обновленную информацию о OceanLotus, APT-группе, связанной с Вьетнамом. Согласно нашей телеметрии, активность, наблюдавшаяся в период с 2024 по 2026 год, свидетельствует о том, что группа уделяет все больше внимания внутреннему шпионажу. Мы описываем два инцидента, произошедших в этот период: атаку на цепочку поставок с использованием FireAnt MetaKit, направленную на инвесторов фондового рынка во Вьетнаме, и взлом вьетнамской компании, занимающейся инфраструктурой и транспортным строительством. В обоих случаях OceanLotus установила на системы жертв свой фирменный бэкдор SPECTRALVIPER. Примечательно, что из-за упущения в области оперативной безопасности (OPSEC) имена RTTI остались неизменными в образце SPECTRALVIPER, что позволило нам реконструировать некоторые аспекты внутренней архитектуры бэкдора.
По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.ESET Research предлагает частные отчеты по APT-угрозам и информационные ленты. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.
IoC
Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.
Файлы
| SHA‑1 | Имя файла | Обнаружение | Описание |
| 511B77459673EC42163F |
setup.exe | Win32/Agent.AIBE | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 59A8553A4F8130F576AB |
setup.exe | Win32/TrojanDown |
Загрузчик SPECTRALVIPER, доставляемый с сервера обновлений FireAnt. |
| 9CA1A5C7F79882DB9135 |
setup.exe | Win32/TrojanDown |
Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| A8E2BBBFCB86500322D2 |
setup.exe | Win32/TrojanDown |
Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| F74F1FEB62B662CDA489 |
setup.exe | Win32/TrojanDown |
Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| F8F8209987CA7F139DE6 |
setup.exe | Win32/TrojanDown |
Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 19A69F856EFA811C376F |
setup.exe | Win32/Agent.AIBE | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 490194E9BB5128ECA869 |
setup.exe | Win32/Agent.AIBE | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 51176139B0B2220B802C |
setup.exe | Win32/Agent.AICB | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 91F042F59BE4BDCB6E5E |
setup.exe | Win32/Agent.AICB | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| A177ED0BFFEB1EFE1D9D |
setup.exe | Win32/Agent.AIBE | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| B7B2D2DB544F9EEA7445 |
setup.exe | Generik.CPNQYWW | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 4AD36AD6C165B5174967 |
setup.exe | Win32/Agent.AIBE | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 57352B3CEEE32216E5AA |
setup.exe | Win32/Agent.AIBE | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 9BC06DF9F932746A05EE |
setup.exe | Generik.ETQXXVN | Загрузчик SPECTRALVIPER, доставленный с сервера обновлений FireAnt. |
| 865A1739337D3303B3AB |
system.config |
Win64/Agent.GFV | Бэкдор SPECTRALVIPER. |
| B0FEA981D02F6F76DE81 |
NotificationC |
Win64/Agent.HRA | Бэкдор SPECTRALVIPER. |
| 48FEBB91A10D1462461A |
DtlCrashCatchC |
Win64/Agent.HRA | Бэкдор SPECTRALVIPER. |
| 150764A71DEEF498DE6F |
SetupUi.dll | Win32/Agent_AGen |
Бэкдор SPECTRALVIPER. |
Сеть
| IP | Домен | Хостинг-провайдер | Первое появление | Подробности |
| 38.60.245[.]37 | leadingfilipin |
Kaopu Cloud HK Limited | 05.10.2025 | C&C-сервер SPECTRALVIPER. |
| 139.99.33[.]239 | coachcybersecu |
OVH Singapore PTE. LTD | 2025‑09‑20 | C&C-сервер SPECTRALVIPER. |
| 139.162.11[.]152 | Н/Д | Akamai Connected Cloud | 02.10.2025 | Хостинг-сервер SPECTRALVIPER. |
| 139.180.128[.]42 | gatewayrvcente |
IRT‑CHOOPALLC‑AP | 20.09.2025 | C&C-сервер SPECTRALVIPER. |
| 142.91.98[.]77 | N/A | LEASEWEB SINGAPORE PTE. LTD. | 03.12.2025 | Хостинг-сервер SPECTRALVIPER. |
| 166.88.77[.]186 | mxprodesign[.] |
Evoxt Enterprise | 23.06.2025 | C&C-сервер SPECTRALVIPER. |
| 194.68.26[.]241 | financemachine |
M247 Europe SRL | 30.10.2025 | C&C-сервер SPECTRALVIPER. |
Техники MITRE ATT&CK
Эта таблица была составлена с использованием версии 19 фреймворка MITRE ATT&CK.
| Tactic | ID | Название | Описание |
| Первоначальный доступ | T1195.002 | Компрометация цепочки поставок: компрометация цепочки поставок программного обеспечения | Серверы обновлений FireAnt MetaKit были взломаны. |
| T1190 | Эксплойт в общедоступном приложении | Подозрение на использование уязвимости RCE в Microsoft SQL. | |
| Выполнение | T1059 | Интерпретатор команд и скриптов | SPECTRALVIPER был развернут с помощью curl. |
| T1204 | Выполнение пользователем | Пользователи могли инициировать обновление MetaKit. | |
| Устойчивость | T1574.002 | Перехват потока выполнения: боковая загрузка DLL | SPECTRALVIPER был запущен посредством боковой загрузки. |
| Обход защиты | T1055 | Внедрение в процесс | SPECTRALVIPER может быть внедрен в различные процессы. |
| T1036 | Маскировка | Хосты с боковой загрузкой были переименованы. | |
| T1027 | Запутывание файлов или информации | Вредоносные загрузчики и бэкдор сильно запутывают код. | |
| T1553.002 | Обход средств контроля доверия: подпись кода | Было использовано отсутствие проверки подписи в протоколе обновления FireAnt MetaKit. | |
| Обнаружение | T1082 | Выявление системной информации | Вредоносные программы-загрузчики и бэкдор собирали информацию о хост-машинах. |
| Боковое перемещение | T1570 | Поперечная передача инструментов | Оркестрация SPECTRALVIPER использует именованный канал. |
| T1021 | Удаленные службы | Оркестратор SPECTRALVIPER может распределять команды между другими экземплярами. | |
| Управление и контроль | T1071.001 | Протокол прикладного уровня: веб-протоколы | SPECTRALVIPER и загрузчик используют протокол HTTPS. |
| T1573 | Зашифрованный канал | Вся связь SPECTRALVIPER с командным центром зашифрована. | |
| T1105 | Передача инструмента проникновения | Поддельное обновление загрузило и запустило SPECTRALVIPER. | |
| Экфильтрация | T1041 | Передача данных через канал C&C | SPECTRALVIPER осуществляет экфильтрацию данных через свой канал C&C. |
