De aan Vietnam verbonden dreigingsacteur, bekend als OceaanLotus is toegeschreven aan twee verschillende campagnes die zich richtten op binnenlandse entiteiten en aandelenbeleggers met een achterdeur die bekend staat als SPECTRALVIPER.
De campagnes omvatten een langdurige cyberspionageoperatie gericht op een Vietnamees infrastructuur- en transportbouwbedrijf tussen medio 2024 en februari 2026, evenals een supply chain-aanval waarbij gebruik wordt gemaakt van FireAnt Metakit, een populair softwareplatform dat wordt gebruikt door aandeleninvesteerders in Vietnam. Het tweede activiteitencluster vond plaats van oktober 2025 tot en met maart 2026.
De twee reeksen aanvallen vertegenwoordigen volgens ESET een verschuiving in de operationele focus, waarbij de dreigingsactor steeds meer de nadruk legt op binnenlandse spionage in plaats van op externe doelen. De groep, actief sinds 2012, heeft ook een geschiedenis van aanvallen op China.
“Of de verschuiving een tijdelijke aanpassing of een strategische verandering op de lange termijn vertegenwoordigt, blijft onduidelijk; deze 15 jaar oude APT-groep blijft echter agressieve tactieken en een niveau van sluwheid in haar instrumenten demonstreren”, aldus het Slowaakse cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News.
Eerdere aanvallen, georkestreerd door het vijandige collectief, hebben in 2017 en 2018 gebruik gemaakt van watergaten om sitebezoekers digitaal te profileren, met een specifieke focus op honderden individuen en organisaties die betrokken zijn bij de media, de mensenrechten en het maatschappelijk middenveld. Andere campagnes hebben Vietnamese mensenrechtenverdedigers en dissidenten uitgekozen.
In december 2020 koppelde Meta de activiteiten van OceanLotus aan een Vietnamees IT-bedrijf genaamd CyberOne Group, ook bekend als CyberOne Security, CyberOne Technologies en Hành Tinh Company Limited. Hoewel het bedrijf de beschuldigingen ontkende, leidde de publieke bekendheid ertoe dat de groep bijna drie jaar lang niet meer actief was.
Enkele van de belangrijkste instrumenten in het arsenaal zijn SOUNDBITE (ook bekend als Denis), PHOREAL (ook bekend als Rizzo), WINDSHIELD (ook bekend als Remy) en, meer recentelijk, SPECTRALVIPER, dat voor het eerst werd gedocumenteerd door Elastic Security Labs in juni 2023 toen de dreigingsactor weer opdook in verband met een campagne tegen Vietnamese overheidsbedrijven.
Vorige maand zei Kaspersky dat het drie kwaadaardige pakketten had ontdekt in de Python Package Index (PyPI)-repository, ontworpen om een voorheen onbekende malwarefamilie genaamd ZiChatBot op Windows- en Linux-systemen te leveren. Het Russische cyberbeveiligingsbedrijf merkte op dat de dropper die werd gebruikt om de malware af te leveren een “64% gelijkenis” vertoont met een andere dropper die door OceanLotus wordt gebruikt.
De FireAnt Metakit supply chain-aanval
Uit de laatste bevindingen van ESET blijkt dat de FireAnt Metakit supply chain-aanval waarschijnlijk begon rond 2 oktober 2025 en duurde tot maart 2026. De aanval zou gebruik hebben gemaakt van de legitieme update-URL van de software om SPECTRALVIPER aan een kleine groep aandelenbeleggers te bedienen, wat wijst op een selectievere aanpak.
Ondanks het gebruik van de FireAnt-updateserver om kwaadaardige payloads rechtstreeks te verspreiden, mist het updateconfiguratiebestand op “metakit.fireant(.)vn/Software/version.xml” een integriteitsvalidatiemechanisme om ervoor te zorgen dat er niet met het update-binaire bestand (“setup.exe”) is geknoeid.
“Vanwege het ontbreken van handtekeningvalidatie heeft Metakit.exe de kwaadaardige downloader uitgevoerd als een legitieme update”, aldus ESET. “Eenmaal gelanceerd voerde de downloader een basishostverkenning uit en stuurde de verzamelde informatie via een HTTP POST-verzoek naar een staging-server, waarbij om de volgende fase werd gevraagd.”
De payload is een DLL-zijlaadketen die een legitiem binair bestand gebruikt om een frauduleuze DLL (“DtlCrashCatch.dll”) te starten, die zichzelf vervolgens in het OneDrive.Sync.Service.exe-proces injecteert om de uitvoering van SPECTRALVIPER te activeren. De achterdeur maakt vervolgens contact met een command-and-control (C2)-server (“financemachinelearning(.)com”) om gecodeerde hostinformatie te verzenden.
ESET zei dat het sinds 9 maart 2026 geen verdere kwaadaardige updates heeft waargenomen die via het gecompromitteerde kanaal zijn verspreid, wat de mogelijkheid vergroot dat de bedreigingsactoren hun campagne hebben beëindigd.
Vietnamese transportbouwmaatschappij doelwit
OceanLotus is ook aangetroffen als doelwit voor een niet bij naam genoemd Vietnamees infrastructuur- en transportbouwbedrijf dat al in november 2024 begon en in het geheim toegang tot de entiteit behield tot februari 2026. Hoewel het exacte initiële toegangspad dat door de bedreigingsacteur werd gebruikt onduidelijk is, wordt vermoed dat er sprake is geweest van misbruik van kwetsbaarheden bij het uitvoeren van externe code op een openbare Microsoft SQL-server.
De aanvallen maken, net als voorheen, de weg vrij voor de inzet van de SPECTRALVIPER-achterdeur met behulp van DLL-side-loading. Er zijn drie verschillende varianten geïdentificeerd op meerdere gecompromitteerde hosts op hetzelfde netwerk. De malware maakt contact met de C2-server (“gatewayrvcenter(.)com”) om hostprofileringsgegevens te verzenden en instructies van de operator te ontvangen.
SPECTRALVIPER vergemakkelijkt ook zijdelingse verplaatsing en functioneert als een lader door extra binaire bestanden of shellcode die van de C2-server is opgehaald, in doelprocessen te injecteren.
“Over het geheel genomen wijst het beschikbare bewijsmateriaal op een mogelijke verschuiving in de operationele patronen van OceanLotus”, aldus ESET. “Sinds de ontmaskering van zijn fysieke dekmantelbedrijf in 2020 lijkt de groep een selectievere benadering van buitenlandse spionage te hebben aangenomen, terwijl ze steeds meer nadruk legt op binnenlandse doelen.”
