El notorio actor de amenazas alineado con Vietnam, **OceanLotus**, ha cambiado supuestamente su enfoque operativo, intensificando sus ataques contra entidades domésticas. Según investigaciones de **ESET**, el grupo está detrás de dos campañas distintas, ambas utilizando la sofisticada puerta trasera **SPECTRALVIPER**. Estas campañas incluyen una operación prolongada de ciberespionaje contra una corporación vietnamita de construcción de infraestructura y transporte, que abarcó desde mediados de 2024 hasta febrero de 2026. Simultáneamente, **OceanLotus** ejecutó un ataque a la cadena de suministro desde octubre de 2025 hasta marzo de 2026, comprometiendo **FireAnt Metakit**, una plataforma de software ampliamente utilizada entre los inversores bursátiles vietnamitas. ### Un Cambio Estratégico en la Selección de Objetivos Esto marca un cambio notable en el modus operandi de **OceanLotus**, que históricamente se ha centrado en objetivos externos, incluida China, desde su creación en 2012. **ESET** señaló: "Si este cambio representa un ajuste temporal o un cambio estratégico a largo plazo aún no está claro; sin embargo, este grupo APT de 15 años continúa demostrando tácticas agresivas y un nivel de astucia en sus herramientas". Actividades anteriores de **OceanLotus** han incluido ataques de "watering hole" para perfilar a individuos y organizaciones vinculadas a los medios de comunicación, derechos humanos y sociedad civil en el Sudeste Asiático. El grupo también ha atacado específicamente a defensores de derechos humanos y disidentes vietnamitas. En diciembre de 2020, **Meta** vinculó públicamente las actividades de **OceanLotus** a una empresa vietnamita de TI, **CyberOne Group**. Aunque **CyberOne Group** negó las acusaciones, esta exposición llevó a un período de casi tres años de actividad reducida por parte del grupo de amenazas. ### El Conjunto de Herramientas en Evolución de **OceanLotus** El arsenal de **OceanLotus** ha evolucionado con el tiempo, incluyendo herramientas como **SOUNDBITE** (también conocido como **Denis**), **PHOREAL** (también conocido como **Rizzo**) y **WINDSHIELD** (también conocido como **Remy**). Más recientemente, el grupo adoptó **SPECTRALVIPER**, documentado por primera vez por **Elastic Security Labs** en junio de 2023, en campañas dirigidas a empresas públicas vietnamitas.  Evidencia adicional de la evolución continua del grupo llegó el mes pasado cuando **Kaspersky** identificó tres paquetes maliciosos en el repositorio **Python Package Index (PyPI)**. Estos paquetes entregaron una nueva familia de malware, **ZiChatBot**, con un "dropper" que compartía un "64% de similitud" con un "dropper" utilizado anteriormente por **OceanLotus**. ### El Ataque a la Cadena de Suministro de **FireAnt Metakit** La investigación de **ESET** sobre el ataque a la cadena de suministro de **FireAnt Metakit** indica que se llevó a cabo desde principios de octubre de 2025 hasta marzo de 2026. Los atacantes explotaron la URL de actualización legítima del software para distribuir selectivamente **SPECTRALVIPER** a un pequeño subconjunto de inversores bursátiles. La vulnerabilidad provino del archivo de configuración de actualización de **FireAnt** ("metakit.fireant[.]vn/Software/version.xml"), que carecía de validación de integridad para el binario de actualización ("setup.exe"). Esto permitió que el "downloader" malicioso se ejecutara como una actualización legítima. "Debido a la ausencia de validación de firmas, Metakit.exe ejecutó el "downloader" malicioso como una actualización legítima", explicó **ESET**. "Una vez lanzado, el "downloader" realizó un reconocimiento básico del host y transmitió la información recopilada a través de una solicitud HTTP POST a un servidor "staging", solicitando el "payload" de la siguiente etapa".  El "payload" subsiguiente inició una cadena de "DLL side-loading", utilizando un binario legítimo para lanzar una DLL no autorizada (**DtlCrashCatch.dll**). Esta DLL luego se inyectó en el proceso **OneDrive.Sync.Service.exe**, activando la ejecución de **SPECTRALVIPER**. La puerta trasera estableció contacto con un servidor de comando y control (C2) ("financemachinelearning[.]com") para exfiltrar información cifrada del host. No se han observado más actualizaciones maliciosas a través del canal comprometido desde el 9 de marzo de 2026, lo que sugiere la conclusión de esta campaña específica. ### Ataque a una Corporación Vietnamita de Construcción de Transporte Por separado, **OceanLotus** ha sido implicado en una campaña dirigida a una empresa vietnamita anónima de construcción de infraestructura y transporte. Esta operación comenzó tan pronto como noviembre de 2024, y el actor de amenazas mantuvo acceso encubierto hasta febrero de 2026. Si bien el vector de acceso inicial no ha sido confirmado, se sospecha la explotación de vulnerabilidades de ejecución remota de código en un **Microsoft SQL server** público. De manera similar al ataque a **FireAnt**, esta campaña también desplegó la puerta trasera **SPECTRALVIPER** a través de "DLL side-loading". **ESET** identificó tres variantes distintas en múltiples hosts comprometidos dentro de la red. Este "malware" se comunicó con un servidor C2 ("gatewayrvcenter[.]com") para transmitir datos de perfilado del host y recibir instrucciones adicionales. **SPECTRALVIPER** también demostró capacidades de movimiento lateral y actuó como un cargador, inyectando binarios adicionales o "shellcode" recuperados del servidor C2 en procesos objetivo. "En general, la evidencia disponible apunta a un posible cambio en los patrones operativos de **OceanLotus**", concluyó **ESET**. "Desde la exposición de su empresa fachada física en 2020, el grupo parece haber adoptado un enfoque más selectivo para el espionaje extranjero, al tiempo que pone un énfasis creciente en los objetivos domésticos".