Entre 2024 y 2026, se ha observado un cambio significativo en las actividades del grupo de ciberespionaje OceanLotus, también conocido como APT32, que parece estar alineado con los intereses del gobierno vietnamita. Durante este periodo, el grupo ha adoptado un enfoque más selectivo en sus operaciones externas, centrando una mayor atención en el espionaje doméstico. Se identificaron dos campañas distintas en las que se utilizó el backdoor SPECTRALVIPER: un ataque a la cadena de suministro dirigido a inversores bursátiles en Vietnam y una operación de espionaje prolongada contra una empresa de construcción de infraestructuras y transporte en el país.
La primera campaña, que comenzó a mediados de 2024 y se extendió hasta enero de 2026, implicó la intrusión en la red de una corporación de construcción. Se sospecha que la brecha fue facilitada por vulnerabilidades en un servidor SQL de Microsoft. En un segundo giro, entre octubre de 2025 y marzo de 2026, OceanLotus llevó a cabo un ataque de cadena de suministro en la plataforma FireAnt Metakit, utilizada por inversores de acciones en Vietnam. Este ataque consistió en comprometer el servidor de actualizaciones de FireAnt, reemplazando software legítimo con un payload malicioso que desplegaba SPECTRALVIPER.
Pese a la amplia gama de potenciales víctimas, el grupo parece haberse enfocado en un número limitado de inversores específicos al final del ataque. Un descuido en los procedimientos de seguridad operativa permitió a los investigadores obtener una perspectiva interna sobre la arquitectura de SPECTRALVIPER, revelando detalles sobre su funcionalidad y características.
Desde su aparición pública en 2023, asociada a ataques dirigidos contra empresas vietnamitas, se ha notado que OceanLotus está haciendo un uso cada vez mayor de sus capacidades para el espionaje interno. Este cambio de enfoque podría estar relacionado con una reciente campaña del gobierno vietnamita contra la corrupción, conocida como «Blazing Furnace», que se lanzó para mostrar la disposición del Partido Comunista de Vietnam a limpiar sus filas. Si bien antes se centraba en objetivos en el extranjero, como intrusiones a organizaciones chinas y de otros países del sudeste asiático, OceanLotus parece haber alineado sus operaciones con los objetivos de control interno del gobierno vietnamita.
En conclusión, la actividad de OceanLotus entre 2024 y 2026 sugiere un cambio hacia un espionaje doméstico más agresivo y selectivo, lo que podría estar vinculado a los esfuerzos del gobierno vietnamita en la lucha contra la corrupción y los delitos financieros. Con la continua evolución de sus herramientas, como SPECTRALVIPER, el grupo demuestra habilidades sólidas en la innovación y un enfoque estratégico en la inteligencia nacional.
Fuente: WeLiveSecurity by eSet.
