Le tristement célèbre groupe de menace aligné sur le Vietnam, **OceanLotus**, aurait réorienté ses opérations, intensifiant ses attaques contre des entités nationales. Selon les recherches d'**ESET**, le groupe est à l'origine de deux campagnes distinctes, toutes deux utilisant la porte dérobée sophistiquée **SPECTRALVIPER**. Ces campagnes comprennent une opération d'espionnage cybernétique prolongée contre une société vietnamienne d'infrastructure et de construction de transport, s'étendant de mi-2024 à février 2026. Parallèlement, **OceanLotus** a exécuté une attaque de la chaîne d'approvisionnement d'octobre 2025 à mars 2026, compromettant **FireAnt Metakit**, une plateforme logicielle largement utilisée par les investisseurs boursiers vietnamiens. ### Un changement stratégique dans le ciblage Cela marque un changement notable dans le modus operandi d'**OceanLotus**, qui s'est historiquement concentré sur des cibles externes, y compris la Chine, depuis sa création en 2012. **ESET** a noté : « Il n'est pas clair si ce changement représente un ajustement temporaire ou un changement stratégique à long terme ; cependant, ce groupe APT âgé de 15 ans continue de démontrer des tactiques agressives et un certain degré de ruse dans ses outils. » Les activités précédentes d'**OceanLotus** ont impliqué des attaques de type watering hole pour profiler des individus et des organisations liés aux médias, aux droits de l'homme et à la société civile en Asie du Sud-Est. Le groupe a également spécifiquement ciblé des défenseurs des droits de l'homme et des dissidents vietnamiens. En décembre 2020, **Meta** a publiquement lié les activités d'**OceanLotus** à une société informatique vietnamienne, **CyberOne Group**. Bien que **CyberOne Group** ait nié les allégations, cette exposition a entraîné une période de réduction d'activité du groupe de menace de près de trois ans. ### L'arsenal évolutif d'**OceanLotus** L'arsenal d'**OceanLotus** a évolué au fil du temps, incluant des outils tels que **SOUNDBITE** (alias **Denis**), **PHOREAL** (alias **Rizzo**) et **WINDSHIELD** (alias **Remy**). Plus récemment, le groupe a adopté **SPECTRALVIPER**, documenté pour la première fois par **Elastic Security Labs** en juin 2023, dans des campagnes ciblant des entreprises publiques vietnamiennes.  Des preuves supplémentaires de l'évolution continue du groupe sont apparues le mois dernier lorsque **Kaspersky** a identifié trois packages malveillants sur le dépôt **Python Package Index (PyPI)**. Ces packages ont distribué une nouvelle famille de malware, **ZiChatBot**, avec un dropper partageant une « similarité de 64 % » avec un dropper précédemment utilisé par **OceanLotus**. ### L'attaque de la chaîne d'approvisionnement **FireAnt Metakit** L'enquête d'**ESET** sur l'attaque de la chaîne d'approvisionnement **FireAnt Metakit** indique qu'elle s'est déroulée d'octobre 2025 à mars 2026. Les attaquants ont exploité l'URL de mise à jour légitime du logiciel pour distribuer sélectivement **SPECTRALVIPER** à un petit sous-ensemble d'investisseurs boursiers. La vulnérabilité provenait du fichier de configuration de mise à jour de **FireAnt** (« metakit.fireant[.]vn/Software/version.xml »), qui manquait de validation d'intégrité pour le binaire de mise à jour (« setup.exe »). Cela a permis au téléchargeur malveillant de s'exécuter comme une mise à jour légitime. « En raison de l'absence de validation de signature, Metakit.exe a exécuté le téléchargeur malveillant comme une mise à jour légitime », a expliqué **ESET**. « Une fois lancé, le téléchargeur a effectué une reconnaissance de base de l'hôte et a transmis les informations collectées via une requête HTTP POST à un serveur de staging, demandant le payload de l'étape suivante. »  Le payload suivant a initié une chaîne de chargement latéral de DLL, utilisant un binaire légitime pour lancer une DLL non autorisée (**DtlCrashCatch.dll**). Cette DLL s'est ensuite injectée dans le processus **OneDrive.Sync.Service.exe**, déclenchant l'exécution de **SPECTRALVIPER**. La porte dérobée a établi un contact avec un serveur de commande et de contrôle (C2) (« financemachinelearning[.]com ») pour exfiltrer des informations d'hôte chiffrées. Aucune autre mise à jour malveillante n'a été observée via le canal compromis depuis le 9 mars 2026, suggérant la conclusion de cette campagne spécifique. ### Ciblage d'une société vietnamienne de construction de transport Par ailleurs, **OceanLotus** a été impliqué dans une campagne ciblant une entreprise vietnamienne non nommée d'infrastructure et de construction de transport. Cette opération a débuté dès novembre 2024, l'acteur de la menace maintenant un accès discret jusqu'en février 2026. Bien que le vecteur d'accès initial reste non confirmé, l'exploitation de vulnérabilités d'exécution de code à distance dans un **serveur Microsoft SQL** public est suspectée. Similaire à l'attaque **FireAnt**, cette campagne a également déployé la porte dérobée **SPECTRALVIPER** via un chargement latéral de DLL. **ESET** a identifié trois variantes distinctes sur plusieurs hôtes compromis au sein du réseau. Ce malware communiquait avec un serveur C2 (« gatewayrvcenter[.]com ») pour transmettre des données de profilage d'hôte et recevoir des instructions supplémentaires. **SPECTRALVIPER** a également démontré des capacités de mouvement latéral et a agi comme un chargeur, injectant des binaires supplémentaires ou du shellcode récupérés du serveur C2 dans les processus cibles. « Dans l'ensemble, les preuves disponibles suggèrent un changement potentiel dans les schémas opérationnels d'**OceanLotus** », a conclu **ESET**. « Depuis l'exposition de sa société de façade physique en 2020, le groupe semble avoir adopté une approche plus sélective de l'espionnage étranger tout en mettant de plus en plus l'accent sur les cibles nationales. »