Campañas de OceanLotus con SPECTRALVIPER contra objetivos vietnamitas

Los investigadores de ESET atribuyeron al grupo OceanLotus (APT32) dos campañas de 2024–2026 dirigidas contra objetivos internos vietnamitas: una corporación de construcción de infraestructuras y inversores bursátiles. Ambas operaciones utilizaron el backdoor SPECTRALVIPER, y una de ellas consistió en un ataque a la cadena de suministro a través de la popular plataforma de inversión FireAnt Metakit. Según la evaluación de ESET, estas campañas señalan un posible giro estratégico del grupo, que pasaría del espionaje externo al interno, una tendencia que exige atención por parte de las organizaciones en Vietnam y en la región del Sudeste Asiático.

Perfil del grupo y contexto estratégico

OceanLotus es un grupo APT vinculado a Vietnam y activo, según los investigadores, desde 2012. Históricamente, el grupo se ha especializado en ciberespionaje externo y, entre otros, cuenta con un historial documentado de ataques contra China. En 2017–2018, OceanLotus llevó a cabo ataques de tipo watering hole para perfilar a los visitantes de sitios web relacionados con medios de comunicación, organizaciones de derechos humanos y sociedad civil. Algunas campañas específicas se dirigieron contra defensores de derechos humanos y disidentes vietnamitas.

Tras la revelación pública de la supuesta relación del grupo con una empresa vietnamita de TI en diciembre de 2020, OceanLotus, según ESET, se mantuvo en la sombra casi tres años. El retorno del grupo se registró en 2023, cuando Elastic Security Labs documentó SPECTRALVIPER en una campaña contra empresas públicas vietnamitas. El arsenal del grupo también incluye las herramientas SOUNDBITE (Denis), PHOREAL (Rizzo) y WINDSHIELD (Remy).

La principal conclusión analítica de ESET es que las campañas descubiertas indican un desplazamiento del foco de OceanLotus, desde objetivos externos hacia objetivos internos vietnamitas. Sigue sin estar claro si se trata de un ajuste temporal o de un cambio estratégico a largo plazo.

Ataque a la cadena de suministro de FireAnt Metakit

La primera campaña fue un ataque a la cadena de suministro a través de FireAnt Metakit, una popular plataforma de software para inversores bursátiles en Vietnam. Según ESET, el ataque habría comenzado en torno al 2 de octubre de 2025 y se prolongó hasta marzo de 2026.

Los atacantes utilizaron el mecanismo de actualización legítimo de la plataforma para distribuir SPECTRALVIPER a un número limitado de inversores, lo que apunta a un enfoque selectivo en la elección de las víctimas. La vulnerabilidad crítica residía en la ausencia de un mecanismo de verificación de integridad: el archivo de configuración de actualizaciones en la dirección metakit.fireant[.]vn/Software/version.xml no incluía validación de la firma del archivo binario descargado setup.exe.

La cadena de infección era la siguiente:

1. La aplicación Metakit.exe descargaba el cargador malicioso como si fuera una actualización legítima, debido a la falta de comprobación de firma.
2. El cargador realizaba un reconocimiento básico del host y enviaba los datos recopilados mediante HTTP POST a un servidor intermedio, solicitando la carga útil de la siguiente fase.
3. La carga útil empleaba la técnica DLL side-loading: un binario legítimo cargaba la librería maliciosa DtlCrashCatch.dll.
4. La DLL maliciosa se inyectaba en el proceso OneDrive.Sync.Service.exe, iniciando SPECTRALVIPER.
5. El backdoor establecía comunicación con el servidor C2 financemachinelearning[.]com y enviaba información cifrada sobre el host.

ESET informa de que, después del 9 de marzo de 2026, no se observó más distribución de actualizaciones maliciosas a través del canal comprometido, lo que podría indicar que los operadores dieron por finalizada la campaña.

Compromiso prolongado de una corporación constructora

La segunda campaña se dirigió contra una corporación vietnamita no identificada del sector de la construcción de infraestructuras y transporte. Según los investigadores, el acceso encubierto a la red de la organización se mantuvo desde noviembre de 2024 hasta febrero de 2026, es decir, más de 15 meses.

No se ha determinado con precisión el vector de acceso inicial; sin embargo, ESET plantea que se explotaron vulnerabilidades de ejecución remota de código en un servidor Microsoft SQL accesible públicamente. A continuación, los atacantes desplegaron SPECTRALVIPER mediante DLL side-loading. En varios hosts comprometidos dentro de la misma red se detectaron tres variantes diferentes del backdoor, lo que indica un desarrollo activo del arsenal de herramientas.

En esta campaña, SPECTRALVIPER se comunicaba con el servidor C2 gatewayrvcenter[.]com para transmitir datos de perfilado de hosts y recibir instrucciones. El backdoor también permitía el movimiento lateral dentro de la red y funcionaba como loader, inyectando binarios adicionales o shellcode desde el C2 en los procesos objetivo.

Indicadores de compromiso

• Dominios C2:financemachinelearning[.]com, gatewayrvcenter[.]com
• URL de actualizaciones comprometida:metakit.fireant[.]vn/Software/version.xml
• Archivos maliciosos:DtlCrashCatch.dll, setup.exe
• Uso malicioso de procesos legítimos:OneDrive.Sync.Service.exe, Metakit.exe

Evaluación del impacto y sectores afectados

Dos categorías se encuentran en mayor riesgo: las organizaciones vietnamitas de infraestructura crítica (transporte, construcción) y los usuarios del software de inversión FireAnt Metakit. El ataque a la cadena de suministro es especialmente peligroso, ya que explota la confianza de los usuarios en el mecanismo de actualización legítimo. El compromiso prolongado de la corporación constructora (más de un año) demuestra la capacidad del grupo para mantener una presencia persistente en la red, lo que crea riesgos de fuga de datos confidenciales sobre grandes proyectos de infraestructura.

Es importante tener en cuenta las limitaciones de los datos disponibles: la atribución y la evaluación del posible giro estratégico de OceanLotus se basan principalmente en la investigación de un único proveedor (ESET). Aún no existe confirmación independiente por parte de otros grupos de investigación.

Recomendaciones prácticas

• Usuarios de FireAnt Metakit: comprobar sus sistemas en busca de los IOC indicados, en especial del archivo DtlCrashCatch.dll y de conexiones de red con financemachinelearning[.]com. Ponerse en contacto con el desarrollador de la plataforma para obtener información sobre las medidas adoptadas para proteger el mecanismo de actualización.
• Organizaciones con servidores Microsoft SQL accesibles públicamente: realizar una auditoría de la configuración, asegurarse de que se han aplicado los parches actuales y limitar el acceso desde internet.
• Monitorización de red: configurar la detección de DLL side-loading; en particular, supervisar la carga de DLL atípicas por procesos legítimos, así como las inyecciones en OneDrive.Sync.Service.exe.
• Desarrolladores de software: implantar la verificación criptográfica de la firma de las actualizaciones. La ausencia de validación de integridad en FireAnt Metakit fue un factor clave en el éxito del ataque.
• Inspección del tráfico de red: bloquear o supervisar las conexiones a los dominios financemachinelearning[.]com y gatewayrvcenter[.]com.

Las campañas de OceanLotus descubiertas ponen de relieve dos prioridades tácticas del grupo: la explotación de la confianza en las cadenas de suministro de software y la presencia encubierta y prolongada en las redes de grandes organizaciones. Las organizaciones de Vietnam, especialmente en los sectores de infraestructura crítica y finanzas, deberían comprobar de inmediato sus sistemas en busca de los indicadores de compromiso señalados y reforzar el control de la integridad de los mecanismos de actualización del software que utilizan.