O grupo de ameaças alinhado ao Vietnã conhecido como OceanLotus foi associado a duas campanhas distintas que miraram entidades domésticas e investidores da bolsa com um backdoor chamado SPECTRALVIPER.
As operações incluem uma longa campanha de ciberespionagem contra uma empresa vietnamita de construção de infraestrutura e transporte, entre meados de 2024 e fevereiro de 2026, além de um ataque à cadeia de suprimentos que explorou o FireAnt Metakit, uma plataforma de software popular entre investidores da bolsa no Vietnã.
O segundo conjunto de atividades ocorreu entre outubro de 2025 e março de 2026.
Segundo a ESET, os dois ataques indicam uma mudança no foco operacional do grupo, com ênfase crescente em espionagem doméstica em vez de alvos externos.
Ativo desde 2012, o grupo também tem histórico de ataques contra a China.
“Não está claro se essa mudança representa um ajuste temporário ou uma alteração estratégica de longo prazo; no entanto, esse grupo APT de 15 anos continua a demonstrar táticas agressivas e um alto nível de sofisticação em suas ferramentas”, afirmou a empresa eslovaca de cibersegurança em relatório compartilhado.
Em ataques anteriores, o coletivo adversário usou watering holes para mapear digitalmente os visitantes de sites, com foco específico em centenas de pessoas e organizações ligadas a mídia, direitos humanos e causas da sociedade civil em 2017 e 2018.
Outras campanhas miraram defensores dos direitos humanos e dissidentes vietnamitas.
Em dezembro de 2020, a Meta associou as atividades do OceanLotus a uma empresa vietnamita de TI chamada CyberOne Group, também conhecida como CyberOne Security, CyberOne Technologies e Hành Tinh Company Limited.
Embora a empresa tenha negado as acusações, a exposição pública fez o grupo desaparecer do radar por quase três anos.
Entre as principais ferramentas do arsenal estão SOUNDBITE, também chamado Denis, PHOREAL, também chamado Rizzo, WINDSHIELD, também chamado Remy, e, mais recentemente, SPECTRALVIPER, documentado pela primeira vez pela Elastic Security Labs em junho de 2023, quando o grupo reapareceu ligado a uma campanha contra empresas públicas vietnamitas.
Mais recentemente, no mês passado, a Kaspersky afirmou ter descoberto três pacotes maliciosos no repositório Python Package Index (PyPI), projetados para entregar uma família de malware até então desconhecida chamada ZiChatBot em sistemas Windows e Linux.
A empresa russa observou que o dropper usado para distribuir o malware compartilha “64% de similaridade” com outro dropper usado pelo OceanLotus.
**O ataque à cadeia de suprimentos do FireAnt Metakit**
As descobertas mais recentes da ESET mostram que o ataque à cadeia de suprimentos do FireAnt Metakit provavelmente começou por volta de 2 de outubro de 2025 e durou até março de 2026.
Segundo a empresa, o ataque explorou a URL legítima de atualização do software para entregar SPECTRALVIPER a um pequeno subconjunto de investidores da bolsa, o que indica uma abordagem mais seletiva.
Apesar do uso do servidor de atualização do FireAnt para distribuir diretamente payloads maliciosos, o arquivo de configuração de atualização localizado em “metakit.fireant[.]vn/Software/version.xml” não conta com um mecanismo de validação de integridade para garantir que o binário de atualização, “setup.exe”, não tenha sido adulterado.
“Devido à ausência de validação de assinatura, o Metakit.exe executou o downloader malicioso como se fosse uma atualização legítima”, disse a ESET.
“Depois de iniciado, o downloader realizou uma reconhecimento básico do host e transmitiu as informações coletadas por uma requisição HTTP POST para um servidor de preparação, solicitando o payload da próxima etapa.”
O payload é uma cadeia de DLL side-loading que usa um binário legítimo para iniciar uma DLL maliciosa, “DtlCrashCatch.dll”, que então se injeta no processo OneDrive.Sync.Service.exe para acionar a execução de SPECTRALVIPER.
Em seguida, o backdoor contata um servidor de comando e controle (C2), “financemachinelearning[.]com”, para enviar informações criptografadas do host.
A ESET disse não ter observado novas atualizações maliciosas distribuídas pelo canal comprometido desde 9 de março de 2026, o que levanta a possibilidade de que os autores da ameaça tenham encerrado a campanha.
**Empresa vietnamita de construção de transporte foi alvo**
O OceanLotus também foi identificado como responsável por atacar uma empresa vietnamita de infraestrutura e construção de transporte, com início já em novembro de 2024 e mantendo acesso furtivo à organização até fevereiro de 2026.
Embora a via inicial de acesso usada pelo grupo ainda não esteja clara, suspeita-se que tenha envolvido a exploração de vulnerabilidades de RCE em um servidor Microsoft SQL exposto na internet.
Assim como nas campanhas anteriores, os ataques abriram caminho para a implantação do backdoor SPECTRALVIPER por meio de DLL side-loading.
Três variantes diferentes foram identificadas em vários hosts comprometidos na mesma rede.
O malware se comunica com o servidor C2, “gatewayrvcenter[.]com”, para transmitir dados de perfil do host e receber instruções do operador.
O SPECTRALVIPER também facilita o movimento lateral e funciona como loader ao injetar binários adicionais ou shellcode, obtidos no servidor C2, em processos-alvo.
“No geral, as evidências disponíveis apontam para uma possível mudança nos padrões operacionais do OceanLotus”, afirmou a ESET.
“Desde a exposição de sua empresa de fachada em 2020, o grupo parece ter adotado uma abordagem mais seletiva para espionagem externa, ao mesmo tempo em que dá ênfase crescente a alvos domésticos.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...