Se cree que un actor de amenazas vinculado a Vietnam conocido como OceanLotus estuvo involucrado en dos campañas separadas dirigidas a empresas nacionales e inversores en acciones utilizando una puerta trasera conocida como SPECTRALVIPER.
La campaña incluye una campaña de ciberespionaje a largo plazo dirigida a empresas vietnamitas de construcción de infraestructura y transporte desde mediados de 2024 hasta febrero de 2026, así como ataques a la cadena de suministro aprovechando FireAnt Metakit, una popular plataforma de software utilizada por inversores de capital vietnamitas. El segundo grupo activo se produjo entre octubre de 2025 y marzo de 2026.
ESET dijo que los dos conjuntos de ataques representan un cambio en el enfoque operativo, con los actores de amenazas cada vez más centrados en el espionaje interno en lugar de objetivos externos. El grupo ha estado activo desde 2012 y tiene un historial de apuntar a China.
«Aún no está claro si este cambio representa un ajuste temporal o un cambio estratégico a largo plazo. Sin embargo, este grupo APT de 15 años continúa demostrando un cierto nivel de astucia en sus tácticas ofensivas y sus herramientas», dijo la firma eslovaca de ciberseguridad en un informe compartido con Hacker News.
Ataques anteriores organizados por grupos hostiles han utilizado abrevaderos para perfilar digitalmente a los visitantes del sitio, con especial atención a cientos de personas y organizaciones involucradas en causas de los medios de comunicación, los derechos humanos y la sociedad civil en 2017 y 2018. Otros ataques tuvieron como objetivo a activistas de derechos humanos y disidentes vietnamitas.
En diciembre de 2020, Mehta vinculó las actividades de OceanLotus con una empresa de TI vietnamita llamada CyberOne Group, también conocida como CyberOne Security, CyberOne Technologies y Hành Tinh Company Limited. Aunque la empresa negó los cargos, la exposición pública provocó la pausa del grupo durante casi tres años.
Las herramientas clave de la empresa incluyen SOUNDBITE (también conocido como Denis), PHOREAL (también conocido como Rizzo) y WINDSHIELD (también conocido como Remy). Los más recientes incluyen SPECTRALVIPER, que fue documentado por primera vez por Elastic Security Labs en junio de 2023, cuando el actor de amenazas resurgió en relación con una campaña dirigida a empresas que cotizan en bolsa en Vietnam.
El mes pasado, Kaspersky anunció que había descubierto tres paquetes maliciosos en su repositorio Python Package Index (PyPI) diseñados para distribuir una familia de malware previamente desconocida llamada ZiChatBot en sistemas Windows y Linux. La firma rusa de ciberseguridad señaló que el gotero utilizado para entregar el malware comparte un «64% de similitud» con otro gotero utilizado por OceanLotus.
Ataque a la cadena de suministro de FireAnt Metakit
Los últimos hallazgos de ESET indican que el ataque a la cadena de suministro FireAnt Metakit probablemente comenzó alrededor del 2 de octubre de 2025 y continuó hasta marzo de 2026. Se dice que este ataque aprovechó las URL de actualización legítimas del software para proporcionar SPECTRALVIPER a algunos inversores en acciones, lo que indica un enfoque más selectivo.
A pesar de utilizar el servidor de actualización FireAnt para distribuir directamente la carga maliciosa, el archivo de configuración de actualización ubicado en ‘metakit.fireant(.)vn/Software/version.xml’ no tiene un mecanismo de verificación de integridad para garantizar que el binario de actualización (‘setup.exe’) no haya sido manipulado.
«Debido a la falta de verificación de firma, Metakit.exe ejecutó el descargador malicioso como una actualización legítima», dijo ESET. «Una vez iniciado, el descargador realiza un reconocimiento básico del host y envía la información recopilada a través de una solicitud HTTP POST a un servidor de prueba para solicitar la carga útil de la siguiente etapa».
La carga útil es una cadena de descarga de DLL que utiliza un binario legítimo para iniciar una DLL maliciosa (‘DtlCrashCatch.dll’), que a su vez se inyecta en el proceso OneDrive.Sync.Service.exe para desencadenar la ejecución de SPECTRALVIPER. Luego, la puerta trasera se conecta a un servidor de comando y control (C2) (‘financemachinelearning(.)com’) y envía información cifrada del host.
ESET dijo que no ha observado más actualizaciones maliciosas distribuidas a través de los canales comprometidos desde el 9 de marzo de 2026, lo que plantea la posibilidad de que los atacantes hayan finalizado su campaña.
La Corporación de Transporte y Construcción de Vietnam es blanco de ataques
También se descubrió que OceanLotus había apuntado a una empresa vietnamita anónima de construcción de infraestructura y transporte que se remonta a noviembre de 2024 y mantuvo en secreto el acceso a esa entidad hasta febrero de 2026. Se desconoce el vector de acceso inicial exacto utilizado por este actor de amenazas, pero se sospecha que implicó la explotación de una vulnerabilidad de ejecución remota de código disponible públicamente en Microsoft SQL Server.
Este ataque, como antes, allana el camino para el despliegue de la puerta trasera SPECTRALVIPER mediante la carga lateral de DLL. Se han observado tres variantes diferentes en múltiples hosts comprometidos en la misma red. El malware se conecta a un servidor C2 (‘gatewayrvcenter(.)com’) para enviar datos de perfiles del host y recibir instrucciones de los operadores.
SPECTRALVIPER también facilita el movimiento lateral, actuando como un cargador al inyectar binarios adicionales o código shell recuperado del servidor C2 en el proceso de destino.
«En general, la evidencia disponible indica un cambio potencial en los patrones operativos de OceanLotus», dijo ESET. «Desde la exposición de su empresa fachada física en 2020, el grupo parece haber adoptado un enfoque más selectivo hacia el espionaje en el extranjero, con un mayor énfasis en los objetivos nacionales».
Source link
