Der berüchtigte, mit Vietnam verbundene Bedrohungsakteur **OceanLotus** hat Berichten zufolge seinen operativen Fokus verlagert und seine Angriffe auf heimische Unternehmen intensiviert. Laut Forschung von **ESET** steckt die Gruppe hinter zwei unterschiedlichen Kampagnen, die beide die hochentwickelte **SPECTRALVIPER**-Backdoor nutzen. Diese Kampagnen umfassen eine langwierige Cyber-Spionageoperation gegen ein vietnamesisches Infrastruktur- und Baukonsortium, die von Mitte 2024 bis Februar 2026 andauerte. Gleichzeitig führte **OceanLotus** von Oktober 2025 bis März 2026 einen Supply-Chain-Angriff durch, bei dem **FireAnt Metakit**, eine weit verbreitete Softwareplattform unter vietnamesischen Börsenanlegern, kompromittiert wurde. ### Strategische Verlagerung der Zielauswahl Dies stellt eine bemerkenswerte Änderung im Modus Operandi von **OceanLotus** dar, der sich seit seiner Gründung im Jahr 2012 historisch auf externe Ziele, einschließlich China, konzentriert hat. **ESET** bemerkte: „Ob die Verlagerung eine vorübergehende Anpassung oder eine langfristige strategische Änderung darstellt, bleibt unklar; diese 15 Jahre alte APT-Gruppe zeigt jedoch weiterhin aggressive Taktiken und ein gewisses Maß an Raffinesse in ihren Werkzeugen.“ Frühere Aktivitäten von **OceanLotus** umfassten Watering-Hole-Angriffe zur Profilerstellung von Einzelpersonen und Organisationen, die mit Medien, Menschenrechten und der Zivilgesellschaft in Südostasien verbunden sind. Die Gruppe hat auch gezielt vietnamesische Menschenrechtsverteidiger und Dissidenten ins Visier genommen. Im Dezember 2020 verband **Meta** die Aktivitäten von **OceanLotus** öffentlich mit einem vietnamesischen IT-Unternehmen, der **CyberOne Group**. Obwohl die **CyberOne Group** die Vorwürfe bestritt, führte diese Enthüllung zu einer fast dreijährigen Phase reduzierter Aktivität der Bedrohungsgruppe. ### Das sich entwickelnde Toolset von **OceanLotus** Das Arsenal von **OceanLotus** hat sich im Laufe der Zeit weiterentwickelt und umfasst Tools wie **SOUNDBITE** (auch bekannt als **Denis**), **PHOREAL** (auch bekannt als **Rizzo**) und **WINDSHIELD** (auch bekannt als **Remy**). In jüngerer Zeit hat die Gruppe **SPECTRALVIPER** übernommen, das erstmals im Juni 2023 von **Elastic Security Labs** in Kampagnen gegen vietnamesische Aktiengesellschaften dokumentiert wurde.  Weitere Beweise für die fortlaufende Entwicklung der Gruppe kamen letzten Monat, als **Kaspersky** drei bösartige Pakete im **Python Package Index (PyPI)**-Repository identifizierte. Diese Pakete lieferten eine neue Malware-Familie, **ZiChatBot**, mit einem Dropper, der eine „64%ige Ähnlichkeit“ mit einem zuvor von **OceanLotus** verwendeten Dropper aufwies. ### Der **FireAnt Metakit** Supply-Chain-Angriff Die Untersuchung von **ESET** zum **FireAnt Metakit**-Supply-Chain-Angriff deutet darauf hin, dass dieser von Anfang Oktober 2025 bis März 2026 lief. Die Angreifer nutzten die legitime Update-URL der Software, um **SPECTRALVIPER** selektiv an eine kleine Untergruppe von Börsenanlegern zu verteilen. Die Schwachstelle ergab sich aus der Konfigurationsdatei für Updates von **FireAnt** („metakit.fireant[.]vn/Software/version.xml“), der es an Integritätsprüfung für das Update-Binärprogramm („setup.exe“) mangelte. Dies ermöglichte die Ausführung des bösartigen Downloaders als legitimes Update. „Aufgrund des Fehlens einer Signaturprüfung führte Metakit.exe den bösartigen Downloader als legitimes Update aus“, erklärte **ESET**. „Nach dem Start führte der Downloader eine grundlegende Host-Aufklärung durch und übermittelte die gesammelten Informationen über eine HTTP POST-Anfrage an einen Staging-Server, um die nächste Stufe der Payload anzufordern.“  Die nachfolgende Payload initiierte eine DLL-Side-Loading-Kette, bei der ein legitimes Binärprogramm verwendet wurde, um eine bösartige DLL (**DtlCrashCatch.dll**) zu starten. Diese DLL injizierte sich dann in den Prozess **OneDrive.Sync.Service.exe** und löste die Ausführung von **SPECTRALVIPER** aus. Die Backdoor nahm Kontakt mit einem Command-and-Control (C2)-Server („financemachinelearning[.]com“) auf, um verschlüsselte Host-Informationen zu exfiltrieren. Seit dem 9. März 2026 wurden keine weiteren bösartigen Updates über den kompromittierten Kanal beobachtet, was auf das Ende dieser spezifischen Kampagne hindeutet. ### Ziel einer vietnamesischen Transportbau-Gesellschaft Getrennt davon wurde **OceanLotus** in eine Kampagne verwickelt, die auf ein nicht genanntes vietnamesisches Infrastruktur- und Bauunternehmen abzielte. Diese Operation begann bereits im November 2024, wobei der Bedrohungsakteur bis Februar 2026 verdeckten Zugriff aufrechterhielt. Während der anfängliche Zugangsvektor unbestätigt bleibt, wird die Ausnutzung von Remote-Code-Execution-Schwachstellen in einem öffentlich zugänglichen **Microsoft SQL server** vermutet. Ähnlich wie beim **FireAnt**-Angriff wurde auch in dieser Kampagne die **SPECTRALVIPER**-Backdoor über DLL-Side-Loading eingesetzt. **ESET** identifizierte drei verschiedene Varianten auf mehreren kompromittierten Hosts im Netzwerk. Diese Malware kommunizierte mit einem C2-Server („gatewayrvcenter[.]com“), um Host-Profiling-Daten zu übertragen und weitere Anweisungen zu erhalten. **SPECTRALVIPER** zeigte auch Fähigkeiten zur lateralen Bewegung und fungierte als Loader, der zusätzliche Binärprogramme oder Shellcode, die vom C2-Server abgerufen wurden, in Zielprozesse injizierte. „Insgesamt deuten die verfügbaren Beweise auf eine potenzielle Verlagerung der operativen Muster von **OceanLotus** hin“, schloss **ESET**. „Seit der Enthüllung seiner physischen Frontfirma im Jahr 2020 scheint die Gruppe einen selektiveren Ansatz für ausländische Spionage verfolgt zu haben, während sie zunehmend heimische Ziele in den Fokus rückte.“