El actor de amenazas alineado con Vietnam conocido como océanoloto se ha atribuido a dos campañas distintas dirigidas a entidades nacionales e inversores en acciones con una puerta trasera conocida como SPECTRALVIPER.
Las campañas implican una operación prolongada de ciberespionaje dirigida a una corporación vietnamita de construcción de infraestructuras y transporte entre mediados de 2024 y febrero de 2026, así como un ataque a la cadena de suministro que aprovecha FireAnt Metakit, una popular plataforma de software utilizada por inversores bursátiles en Vietnam. El segundo grupo de actividades tuvo lugar desde octubre de 2025 hasta marzo de 2026.
Los dos conjuntos de ataques representan un cambio en el enfoque operativo, según ESET, en el que el actor de la amenaza pone cada vez más énfasis en el espionaje interno en lugar de objetivos externos. El grupo, activo desde 2012, también tiene un historial de apuntar a China.
«Aún no está claro si el cambio representa un ajuste temporal o un cambio estratégico a largo plazo; sin embargo, este grupo APT de 15 años continúa demostrando tácticas agresivas y un nivel de astucia en sus herramientas», dijo la compañía eslovaca de ciberseguridad en un informe compartido con The Hacker News.
Ataques anteriores orquestados por el colectivo adversario han aprovechado los abrevaderos para perfilar digitalmente a los visitantes del sitio, con un enfoque específico en cientos de personas y organizaciones vinculadas a causas de los medios de comunicación, los derechos humanos y la sociedad civil en 2017 y 2018. Otras campañas han señalado a defensores de derechos humanos y disidentes vietnamitas.
En diciembre de 2020, Meta vinculó las actividades de OceanLotus con una empresa de TI vietnamita llamada CyberOne Group, también conocida como CyberOne Security, CyberOne Technologies y Hành Tinh Company Limited. Aunque la compañía negó las acusaciones, la exposición pública llevó al grupo a permanecer fuera de la red durante casi tres años.
Algunas de las herramientas clave de su arsenal incluyen SOUNDBITE (también conocido como Denis), PHOREAL (también conocido como Rizzo), WINDSHIELD (también conocido como Remy) y, más recientemente, SPECTRALVIPER, que fue documentado por primera vez por Elastic Security Labs en junio de 2023 cuando el actor de amenazas resurgió en relación con una campaña dirigida a empresas públicas vietnamitas.
Tan recientemente como el mes pasado, Kaspersky dijo que descubrió tres paquetes maliciosos en el repositorio Python Package Index (PyPI) diseñados para entregar una familia de malware previamente desconocida llamada ZiChatBot en sistemas Windows y Linux. La compañía rusa de ciberseguridad señaló que el gotero utilizado para entregar el malware comparte un «64% de similitud» con otro gotero utilizado por OceanLotus.
El ataque a la cadena de suministro de FireAnt Metakit
Los últimos hallazgos de ESET muestran que el ataque a la cadena de suministro de FireAnt Metakit probablemente comenzó alrededor del 2 de octubre de 2025 y duró hasta marzo de 2026. Se dice que el ataque aprovechó la URL de actualización legítima del software para ofrecer SPECTRALVIPER a un pequeño subconjunto de inversores en acciones, lo que indica un enfoque más selectivo.
A pesar del uso del servidor de actualización FireAnt para distribuir directamente cargas útiles maliciosas, el archivo de configuración de actualización ubicado en «metakit.fireant(.)vn/Software/version.xml» carece de un mecanismo de validación de integridad para garantizar que el binario de actualización («setup.exe») no haya sido manipulado.
«Debido a la ausencia de validación de firma, Metakit.exe ejecutó el descargador malicioso como una actualización legítima», dijo ESET. «Una vez iniciado, el descargador realizó un reconocimiento básico del host y transmitió la información recopilada a través de una solicitud HTTP POST a un servidor de prueba, solicitando la carga útil de la siguiente etapa».
La carga útil es una cadena de carga lateral de DLL que emplea un binario legítimo para iniciar una DLL maliciosa («DtlCrashCatch.dll»), que luego se inyecta en el proceso OneDrive.Sync.Service.exe para desencadenar la ejecución de SPECTRALVIPER. Posteriormente, la puerta trasera se pone en contacto con un servidor de comando y control (C2) («financemachinelearning(.)com») para enviar información cifrada del host.
ESET dijo que no ha observado más actualizaciones maliciosas distribuidas a través del canal comprometido desde el 9 de marzo de 2026, lo que plantea la posibilidad de que los actores de la amenaza hayan concluido su campaña.
La Corporación Vietnamita de Construcción de Transportes es blanco de ataques
También se descubrió que OceanLotus apuntaba a una empresa vietnamita anónima de construcción de infraestructura y transporte desde noviembre de 2024, reteniendo de forma encubierta el acceso a la entidad hasta febrero de 2026. Aunque la ruta de acceso inicial exacta utilizada por el actor de amenazas no está clara, se sospecha que implicó la explotación de vulnerabilidades de ejecución remota de código en un servidor Microsoft SQL público.
Los ataques, como antes, allanaron el camino para el despliegue de la puerta trasera SPECTRALVIPER mediante carga lateral de DLL. Se han identificado tres variantes diferentes en múltiples hosts comprometidos en la misma red. El malware se pone en contacto con el servidor C2 («gatewayrvcenter(.)com») para transmitir datos de perfil del host y recibir instrucciones del operador.
SPECTRALVIPER también facilita el movimiento lateral y funciona como un cargador al inyectar binarios adicionales o código shell recuperado del servidor C2 en los procesos de destino.
«En general, la evidencia disponible apunta a un cambio potencial en los patrones operativos de OceanLotus», dijo ESET. «Desde la exposición de su empresa fachada física en 2020, el grupo parece haber adoptado un enfoque más selectivo frente al espionaje extranjero, al tiempo que pone cada vez más énfasis en los objetivos nacionales».