• Van medio 2024 tot februari 2026 heeft OceanLotus, de aan Vietnam gelinkte APT-groep, het netwerk van een Vietnamese infrastructuurbouw- en transportmaatschappij gecompromitteerd met zijn unieke implantaat, SPECTRALVIPER.
• Van oktober 2025 tot maart 2026 voerde OceanLotus een supply-chainaanval uit met de FireAnt MetaKit, een softwareplatform dat veel gebruikt wordt door beleggers op de Vietnamese aandelenmarkt.
• Binnenlandse doelwitten laten een verschuiving zien in de operationele patron
Onderzoek van ESET Research naar de activiteiten van OceanLotus tussen 2024 en 2026 laat zien dat de operationele focus van de aan Vietnam gelinkte groep verschoven is. De groep heeft nu een selectievere aanpak voor buitenlandse operaties en legt meer de nadruk op binnenlandse spionage. ESET-onderzoekers identificeerden twee campagnes waarbij de SPECTRALVIPER-backdoor werd gebruikt: een aanval op de toeleveringsketen gericht op beursbeleggers in Vietnam en een langdurige spionageoperatie tegen een Vietnamees infrastructuurbouw- en transportbedrijf.
Of de verschuiving een tijdelijke aanpassing of een strategische wijziging op termijn is, is niet duidelijk. Deze 15 jaar oude APT-groep demonstreert agressieve tactieken en een zekere vindingrijkheid in hun tools. OceanLotus is bekend om arsenaal aan Windows- en Linux-backdoors continu te innoveren en uit te breiden, waarbij unieke netwerkprotocollen geïmplementeerd worden of de mogelijkheden voor gegevensverzameling op specifieke operationele doelstellingen afgestemd worden.
Tussen 2017 en 2020 trok OceanLotus heel wat publieke aandacht na meerdere rapporten waarin de cyberespionage-activiteiten van de groep werden beschreven. Het ging om grootschalige ‘watering-hole’-aanvallen gericht op Zuidoost-Azië in 2017-2018, inbraken bij bedrijven zoals BMW en Hyundai in 2019, en het bespioneren van een Vietnamese dissident in Duitsland in hetzelfde jaar. De groep werd ook gelinkt aan operaties tegen mensenrechtenverdedigers tussen 2019 en 2020, evenals spionage gericht op de overheid van de stad Wuhan in 2020. De groep kreeg echter tegenslag in 2020 toen Facebook het bedrijf identificeerde dat vermoedelijk als dekmantel voor OceanLotus werd gebruikt. Na deze onthulling nam de publieke berichtgeving over de groep aanzienlijk af en kregen dezeactiviteiten gedurende enkele jaren heel wat minder aandacht.
De eerste campagne ging over de onlangs ontdekte inbreuk op een infrastructuurbouw- en transportbedrijf. Het begon midden 2024 en duurde tot januari 2026. De tweede campagne was een supply-chainaanval van eind 2025 tot maart 2026. Bij deze operatie infecteerde OceanLotus de updateserver van een Vietnamees platform voor beleggingen in aandelen via de FireAnt MetaKit,, en verving legitieme software-updates met een kwaadaardige payload die uiteindelijk SPECTRALVIPER installeerde. Deze campagne was blijkbaar gericht op aandelenbeleggers en is mogelijk gekoppeld aan de recente inspanningen van Vietnam om hervormingen op de effectenmarkt door te voeren, wat wijst op een mogelijke connectie met binnenlandse monitoring- of onderzoeksdoeleinden.
In beide gevallen installeerde OceanLotus SPECTRALVIPER, een kenmerkende backdoor, op de systemen van de slachtoffers. Een operationeel beveiligingslek leidde ertoe dat de de runtime- informatie intact bleef in een SPECTRALVIPER-sample, zodat ESET aspecten van de interne architectuur van de backdoor kon reconstrueren. Ondanks de grote potentiële impact van zo’n aanval, zag ESET dat slechts een beperkt aantal personen uiteindelijk SPECTRALVIPER ontvingen, wat wijst op selectieve targeting.
Algemeen genomen, wijst het beschikbare bewijsmateriaal op een verschuiving in de operationele patronen van OceanLotus. Sinds de ontdekking van het fysieke dekkingsbedrijf in 2020 lijkt de groep een selectievere aanpak te hanteren voor buitenlandse spionage, terwijl de nadruk steeds meer komt te liggen op binnenlandse doelen.
Het is opmerkelijk dat de nieuwste activiteiten van OceanLotus lijken aan te sluiten bij diverse recente ontwikkelingen in Vietnam. De autoriteiten zijn de afgelopen jaren een grote campagne tegen corruptie begonnen, een programma dat ‘Blazing Furnace’ heet. Zoals Xi Jinpings grote anticorruptie-campagne in China, is deze inspanning van de Vietnamese Communistische Partij bedoeld om de bevolking te laten zien dat de partij bereid en in staat is om corruptie binnen de eigen rangen aan te pakken om zo haar legitimiteit te behouden. Het lijkt dus dat het Vietnamese veiligheidsapparaat steeds meer middelen inzet om corruptie en financiële criminaliteit te bestrijden. ESET denkt dat OceanLotus op de een of andere manier hierbij betrokken is en dat dit een reden kan zijn voor de schijnbare heroriëntatie van de groep op binnenlandse inlichtingen en toezicht.
OceanLotus, ook als APT32 gekend, is een cyberspionagegroep die zich aansluit bij de belangen van de Vietnamese regering. Volgens ESET-telemetrie gaan de activiteiten van deze groep terug tot 2012, en mogelijk nog eerder. OceanLotus richt zich vooral op China en Zuidoost-Azië (vooral op Vietnam). Het is in verband gebracht met diverse operaties, gaande van een grootschalige digitale profileringscampagne tot zeer gerichte aanvallen op Vietnamese mensenrechtenactivisten.
Voor meer details over OceanLotus en zijn nieuwste campagne, lees de blog van ESET Research, “OceanLotus: From external espionage to domestic targeting”, op www.WeLiveSecurity.com. Volg ESET Research ook op X, BlueSky en Mastodon voor de nieuwste informatie.
Bezoek ook www.eset.com of volg ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.
Meer lezen
