O notório ator de ameaças alinhado ao Vietnã, **OceanLotus**, teria mudado seu foco operacional, intensificando seus ataques contra entidades domésticas. De acordo com pesquisas da **ESET**, o grupo está por trás de duas campanhas distintas, ambas utilizando o sofisticado backdoor **SPECTRALVIPER**. Essas campanhas incluem uma operação prolongada de ciberespionagem contra uma corporação vietnamita de infraestrutura e construção de transportes, que se estendeu de meados de 2024 a fevereiro de 2026. Concomitantemente, o **OceanLotus** executou um ataque à cadeia de suprimentos de outubro de 2025 a março de 2026, comprometendo o **FireAnt Metakit**, uma plataforma de software amplamente utilizada por investidores da bolsa vietnamita. ### Uma Mudança Estratégica no Alvo Isso marca uma mudança notável no modus operandi do **OceanLotus**, que historicamente se concentrou em alvos externos, incluindo a China, desde sua criação em 2012. A **ESET** observou: "Se a mudança representa um ajuste temporário ou uma mudança estratégica de longo prazo ainda não está claro; no entanto, este grupo APT de 15 anos continua a demonstrar táticas agressivas e um nível de astúcia em suas ferramentas." Atividades anteriores do **OceanLotus** envolveram ataques de watering hole para perfilar indivíduos e organizações ligados à mídia, direitos humanos e sociedade civil no Sudeste Asiático. O grupo também visou especificamente defensores dos direitos humanos e dissidentes vietnamitas. Em dezembro de 2020, a **Meta** vinculou publicamente as atividades do **OceanLotus** a uma empresa de TI vietnamita, a **CyberOne Group**. Embora a **CyberOne Group** tenha negado as alegações, essa exposição levou a um período de quase três anos de atividade reduzida do grupo de ameaças. ### O Conjunto de Ferramentas em Evolução do **OceanLotus** O arsenal do **OceanLotus** evoluiu ao longo do tempo, incluindo ferramentas como **SOUNDBITE** (também conhecido como **Denis**), **PHOREAL** (também conhecido como **Rizzo**) e **WINDSHIELD** (também conhecido como **Remy**). Mais recentemente, o grupo adotou o **SPECTRALVIPER**, documentado pela primeira vez pela **Elastic Security Labs** em junho de 2023, em campanhas visando empresas públicas vietnamitas.  Evidências adicionais da evolução contínua do grupo surgiram no mês passado, quando a **Kaspersky** identificou três pacotes maliciosos no repositório **Python Package Index (PyPI)**. Esses pacotes entregaram uma nova família de malware, **ZiChatBot**, com um dropper compartilhando "64% de similaridade" com um dropper anteriormente usado pelo **OceanLotus**. ### O Ataque à Cadeia de Suprimentos do **FireAnt Metakit** A investigação da **ESET** sobre o ataque à cadeia de suprimentos do **FireAnt Metakit** indica que ele ocorreu de início de outubro de 2025 a março de 2026. Os atacantes exploraram a URL de atualização legítima do software para distribuir seletivamente o **SPECTRALVIPER** a um pequeno subconjunto de investidores da bolsa. A vulnerabilidade decorreu do arquivo de configuração de atualização do **FireAnt** ("metakit.fireant[.]vn/Software/version.xml"), que carecia de validação de integridade para o binário de atualização ("setup.exe"). Isso permitiu que o downloader malicioso fosse executado como uma atualização legítima. "Devido à ausência de validação de assinatura, o Metakit.exe executou o downloader malicioso como uma atualização legítima", explicou a **ESET**. "Uma vez iniciado, o downloader realizou reconhecimento básico do host e transmitiu as informações coletadas via requisição HTTP POST para um servidor de staging, solicitando o payload da próxima etapa."  O payload subsequente iniciou uma cadeia de side-loading de DLL, usando um binário legítimo para lançar uma DLL maliciosa (**DtlCrashCatch.dll**). Essa DLL então se injetou no processo **OneDrive.Sync.Service.exe**, acionando a execução do **SPECTRALVIPER**. O backdoor estabeleceu contato com um servidor de comando e controle (C2) ("financemachinelearning[.]com") para exfiltrar informações criptografadas do host. Nenhuma outra atualização maliciosa foi observada através do canal comprometido desde 9 de março de 2026, sugerindo a conclusão desta campanha específica. ### Visando uma Corporação Vietnamita de Construção de Transportes Separadamente, o **OceanLotus** foi implicado em uma campanha visando uma empresa vietnamita não nomeada de infraestrutura e construção de transportes. Esta operação começou já em novembro de 2024, com o ator de ameaças mantendo acesso secreto até fevereiro de 2026. Embora o vetor de acesso inicial permaneça não confirmado, a exploração de vulnerabilidades de execução remota de código em um **Microsoft SQL server** público é suspeita. Semelhante ao ataque do **FireAnt**, esta campanha também implantou o backdoor **SPECTRALVIPER** via side-loading de DLL. A **ESET** identificou três variantes distintas em múltiplos hosts comprometidos dentro da rede. Este malware se comunicou com um servidor C2 ("gatewayrvcenter[.]com") para transmitir dados de perfil do host e receber mais instruções. O **SPECTRALVIPER** também demonstrou capacidades de movimento lateral e atuou como um loader, injetando binários adicionais ou shellcode recuperados do servidor C2 em processos alvo. "No geral, as evidências disponíveis apontam para uma potencial mudança nos padrões operacionais do **OceanLotus**", concluiu a **ESET**. "Desde a exposição de sua empresa de fachada física em 2020, o grupo parece ter adotado uma abordagem mais seletiva à espionagem estrangeira, ao mesmo tempo em que dá ênfase crescente a alvos domésticos."