Nuestro seguimiento de las actividades de OceanLotus entre 2024 y 2026 revela un cambio en su enfoque operativo. Durante este período, OceanLotus, alineado con Vietnam, adoptó un enfoque más selectivo para sus operaciones externas, al tiempo que incrementó el énfasis en el espionaje doméstico. Identificamos dos campañas distintas que emplean el backdoor SPECTRALVIPER: un ataque a la cadena de suministro dirigido a inversores bursátiles en Vietnam y una operación prolongada de espionaje contra una empresa vietnamita de construcción de infraestructura y transporte.
No está claro si este cambio representa un ajuste temporal o una modificación estratégica a largo plazo; sin embargo, este grupo APT con 15 años de trayectoria continúa demostrando tácticas agresivas y un alto nivel de sofisticación en sus herramientas.
Puntos clave de esta entrada del blog:
- Desde mediados de 2024 hasta febrero de 2026, OceanLotus comprometió la red de una corporación vietnamita de construcción de infraestructura y transporte utilizando su implante característico, SPECTRALVIPER.
- Desde octubre de 2025 hasta marzo de 2026, OceanLotus llevó a cabo un ataque a la cadena de suministro aprovechando FireAnt Metakit, una plataforma de software ampliamente utilizada por inversores bursátiles en Vietnam.
- A pesar del amplio impacto potencial de este ataque, observamos que solo unos pocos individuos recibieron finalmente SPECTRALVIPER, lo que indica un direccionamiento selectivo.
- Un error de OPSEC nos proporcionó una vista interna de la arquitectura de SPECTRALVIPER.
Perfil de OceanLotus
OceanLotus, también conocido como APT32, es un grupo de ciberespionaje presuntamente alineado con los intereses del gobierno vietnamita. Según nuestra telemetría, la actividad atribuida a este grupo se remonta a 2012, o incluso antes. OceanLotus se enfoca principalmente en China y el sudeste asiático (con especial énfasis en Vietnam); ha sido asociado con una variedad de operaciones, que van desde campañas masivas de perfilado digital hasta ataques altamente dirigidos contra activistas vietnamitas de derechos humanos.
OceanLotus es conocido por innovar continuamente y expandir su arsenal de backdoors para Windows y Linux, implementando con frecuencia protocolos de red únicos o adaptando las capacidades de recopilación de datos a objetivos operativos específicos. Entre sus herramientas más conocidas se encuentran Denis (también conocido como SOUNDBITE), que implementa tunelización DNS para comunicaciones de C&C; PHOREAL, que utiliza el protocolo ICMP para comunicaciones de C&C; WINDSHIELD, que incorpora un interesante mecanismo de evasión de proxy; y su backdoor más reciente, SPECTRALVIPER, que incluye capacidades de orquestación.
OceanLotus: exposición y reorientación
Entre 2017 y 2020, OceanLotus atrajo una importante atención pública tras múltiples informes que detallaban sus actividades de ciberespionaje. Estas incluyeron ataques de watering hole a gran escala dirigidos al sudeste asiático en 2017–2018, intrusiones en corporaciones como BMW y Hyundai en 2019, y el ataque contra un disidente vietnamita en Alemania ese mismo año. El grupo también fue vinculado con operaciones contra defensores de derechos humanos entre 2019 y 2020, así como con espionaje dirigido al gobierno municipal de Wuhan en 2020.
Sin embargo, sus operaciones enfrentaron un revés en 2020 cuando Facebook identificó públicamente a la empresa presuntamente utilizada como fachada por OceanLotus. Tras esta exposición, los reportes públicos sobre el grupo disminuyeron significativamente, y sus actividades recibieron relativamente poca atención durante varios años.
OceanLotus reapareció públicamente en 2023 con un informe de Elastic Security Labs que describía un ataque utilizando un backdoor previamente no documentado, denominada SPECTRALVIPER, dirigido a empresas vietnamitas. Sobre esa base, nuestra investigación examina la actividad más reciente del grupo, observada desde mediados de 2024 hasta principios de 2026.
Durante este período, identificamos dos campañas distintas que utilizaron SPECTRALVIPER como backdoor principal, pero con perfiles de víctimas muy diferentes.
La primera campaña implicó el compromiso de una corporación de construcción de infraestructura y transporte. Esta intrusión comenzó a mediados de 2024 y persistió hasta enero de 2026.
La segunda campaña fue un ataque a la cadena de suministro que comenzó a finales de 2025 y continuó hasta marzo de 2026. En esta operación, OceanLotus comprometió el servidor de actualizaciones de FireAnt Metakit, una plataforma vietnamita de inversión bursátil, y reemplazó las actualizaciones de software legítimas con un payload malicioso que finalmente desplegó SPECTRALVIPER. Esta campaña parece haber estado dirigida a inversores bursátiles y podría estar vinculada a los recientes esfuerzos de Vietnam por promover reformas del mercado de valores, lo que sugiere una posible relación con objetivos de monitoreo o investigación interna.
Finalmente, en julio de 2025, un ataque a la cadena de suministro que involucró la carga de paquetes wheel maliciosos en el Python Package Index (PyPI) fue atribuido a OceanLotus. Sin embargo, nuestra telemetría no identificó víctimas afectadas, y carecemos de visibilidad suficiente para verificar de forma independiente esa atribución.
En general, la evidencia disponible apunta a un posible cambio en los patrones operativos de OceanLotus. Desde la exposición de su empresa fachada física en 2020, el grupo parece haber adoptado un enfoque más selectivo para el espionaje internacional mientras pone un énfasis creciente en objetivos domésticos.
Contexto de esta campaña
Cabe destacar que las actividades más recientes de OceanLotus parecen alinearse con diversos desarrollos recientes en el ámbito interno de Vietnam.
En los últimos años, las autoridades vietnamitas han emprendido una gran cruzada contra la corrupción —un programa bautizado Blazing Furnace—. Similar al impulso anticorrupción de Xi Jinping en China, este esfuerzo, lanzado por el Partido Comunista de Vietnam, busca demostrar a la población que el partido está dispuesto y es capaz de limpiar sus filas para mantener su legitimidad. Desde 2016, esta política ha llevado a varios juicios de alto perfil que involucran a funcionarios del partido o empresarios acusados de sobornar a políticos. Además, dos presidentes vietnamitas se han visto obligados a dimitir desde 2023 tras ser asociados públicamente con escándalos de corrupción. Solo en 2025, el partido sancionó a 9.600 de sus miembros en casos relacionados con corrupción, delitos económicos y abuso de cargo.
En este contexto, parece probable que el aparato de seguridad de Vietnam esté destinando recursos cada vez más importantes para combatir la corrupción (y los delitos financieros en general). Creemos que OceanLotus podría estar de alguna manera asociado con estos esfuerzos, lo que podría explicar su aparente reorientación hacia inteligencia y vigilancia doméstica en los últimos dos años aproximadamente. De hecho, los dos objetivos identificados en esta campaña reflejan casos judiciales recientes que generaron atención pública en Vietnam.
Por ejemplo, a finales de octubre de 2025, la agencia de regulación financiera de Vietnam anunció que unas 70 grandes empresas nacionales habían falseado sus informes de ventas de bonos durante la última década, lo que provocó una caída del 5,5% en el principal índice bursátil del país. Este anuncio sugiere que las fuerzas de seguridad vietnamitas probablemente estaban desplegando amplios esfuerzos de investigación en el mercado bursátil al mismo tiempo que se observaba a OceanLotus comprometiendo la aplicación FireAnt.
Con base en estos elementos, creemos que el ataque a la cadena de suministro de OceanLotus probablemente se llevó a cabo como parte de los esfuerzos actuales de investigación contra la corrupción y los delitos financieros en Vietnam.
Los inversores bursátiles en la mira
La cadena de suministro
Estimamos que el ataque a la cadena de suministro de FireAnt comenzó alrededor de octubre de 2025 y continuó hasta marzo de 2026. Durante este período, identificamos a algunos inversores bursátiles expuestos a la cadena de suministro; sin embargo, solo un subconjunto reducido de ellos recibió finalmente el backdoor SPECTRALVIPER. Nuestro equipo realizó múltiples intentos de notificar a FireAnt sobre el incidente, pero no obtuvo respuesta.
FireAnt es una empresa fintech con sede en Vietnam que ofrece una plataforma de datos del mercado bursátil, análisis y herramientas de apoyo a la inversión tanto para inversores individuales como institucionales. Se considera una de las principales plataformas digitales de inversión en Vietnam, proporcionando datos de mercado en tiempo real, funciones de análisis técnico y perspectivas impulsadas por IA, junto con un componente comunitario donde los inversores pueden compartir información y opiniones. Dentro de este ecosistema, FireAnt MetaKit es un componente de software especializado enfocado en la entrega de datos. Está diseñado para proporcionar datos financieros de mercado en tiempo real y también históricos directamente a plataformas de análisis técnico como AmiBroker, MetaStock y MetaTrader.
El 2 de octubre de 2025 detectamos el primer payload malicioso originado desde la URL legítima de actualización de FireAnt MetaKit http://metakit.fireant[.]vn/Software/setup.exe. El dominio resolvía a la dirección IP genuina del servidor de actualizaciones de FireAnt, lo que sugiere un escenario de compromiso de cadena de suministro. Nuestro análisis de este payload revela un downloader de primera iteración, lo que indica que esta actividad probablemente representa una fase temprana de la campaña, donde OceanLotus estaba probando el mecanismo de entrega en víctimas iniciales. En la Tabla 1 comparamos este downloader inicial con la versión estable observada posteriormente en la campaña.
Tabla 1. Comparación entre la versión de prueba y la versión estable del downloader
| Criteria | First iteration | Stable version |
| First seen | 2025‑10‑02 | 2025‑10‑17 |
| Code obfuscation | None | Heavily obfuscated |
| Next-stage download | Hardcoded URLs | API request |
| Payload | An old SPECTRALVIPER sample that appeared in a previous campaign. | Fresh SPECTRALVIPER samples. |
| Infrastructure | Reused from the previous campaign. | New infrastructure. SPECTRALVIPER C&C domain financemachinelearning |
Además de observar payloads distribuidos directamente desde el servidor de actualizaciones de FireAnt, identificamos fallas en el protocolo de actualización utilizado por el software FireAnt MetaKit. En particular, el archivo de configuración de actualización en http://metakit.fireant.vn/Software/version.xml carece de cualquier mecanismo de validación de integridad, como se muestra en la Figura 1.
En segundo lugar, la falta de cifrado SSL/TLS en el protocolo de red utilizado para obtener tanto el archivo version.xml como cualquier binario actualizado hace que FireAnt MetaKit sea vulnerable a ataques de interceptación; sin embargo, no hemos observado a OceanLotus aprovechar esta técnica en esta campaña.
La cadena de ejecución
Debido a la ausencia de validación de firmas, Metakit.exe ejecutó el downloader malicioso como si fuera una actualización legítima. Una vez iniciado, el downloader realizó reconocimiento básico del host y transmitió la información recopilada mediante una solicitud HTTP POST a un servidor staging, solicitando el payload de la siguiente etapa (Figura 2).
En todas las muestras observadas, la API de descarga V1/Update/GetUpdate se mantuvo consistente. Sin embargo, la infraestructura staging evolucionó con .el tiempo, con servidores C&C inicialmente alojados en 139.162.11[.]152 y posteriormente migrando a 142.91.98[.]77.
En la etapa siguiente, el downloader desplegó una cadena de side-loading que involucró a DtlCrashCatch.dll, que es SPECTRALVIPER configurado como loader, y su ejecutable acompañante IntelAudioService.exe. Este último se ejecutó con el comando:
C:\Users\[redacted]\IntelAudio\Service\IntelAudioService.exe /appmodel /StateRepository /Service
El análisis reveló que IntelAudioService.exe es, de hecho, una copia del ejecutable legítimo y firmado dtlupdate.exe, como se muestra en la Figura 3.
Una vez ejecutado, DtlCrashCatch.dll se inyecta en el proceso OneDrive.Sync.Service.exe, lo que permite la ejecución en modo backdoor. A continuación, el backdoor envía una solicitud de beacon la URL hardcodeada https://financemachinelearning[.]com/apparatus/wind/twig/statement.html, incrustando información del host cifrada en el encabezado HTTP cookie. Históricamente, estos datos llevaban el prefijo euconsent-v2=; sin embargo, en esta campaña, observamos el uso del prefijo zd_cs_pm= (Figura 4), lo que supone la primera aparición de esta variante.
La cadena de ejecución completa se resume en la Figura 5.
Desde el 9 de marzo de 2026, no hemos observado nuevas actualizaciones maliciosas distribuidas a través del canal comprometido, lo que sugiere que el ataque a la cadena de suministro probablemente ha concluido.
Ataque dirigido a una gran empresa
Evaluamos que el compromiso de la red corporativa de una empresa vietnamita de construcción de infraestructura y transporte comenzó ya en noviembre de 2024 y persistió hasta febrero de 2026. Aunque el vector de acceso inicial no fue observado directamente, nuestro análisis de los servidores expuestos del objetivo sugiere que el atacante pudo haber explotado vulnerabilidades de ejecución remota de código (RCE) en un servidor Microsoft SQL para establecer un acceso inicial.
Durante este período, identificamos múltiples variantes de SPECTRALVIPER desplegadas en la red, utilizando tanto servidores C&C compartidos como distintos. Notablemente, estos despliegues mostraban ligeras variaciones, posiblemente adaptadas a los entornos de los hosts comprometidos (Figura 6).
Genuine.exe, Updater.exe y AutoCAD242.exe, en la Figura 6 son variantes del mismo ejecutable legítimo y firmado Toolbox.exe (Figura 7), todos los cuales requieren el parámetro de línea de comandos -uiDll para que el mecanismo de side-loading funcione correctamente. Similar al ataque de cadena de suministro, la DLL cargada es SPECTRALVIPER en configuración de loader, que posteriormente inyecta el backdoor SPECTRALVIPER en un proceso del host.
La Tabla 2 enumera los dominios C&C observados durante este incidente.
Tabla 2. Dominios C&C de SPECTRALVIPER observados en el incidente
| C&C domain | IP | First seen |
| gatewayrvcenter[.]com | 139.180.128[.]42 | 2025-09-20 |
| coachcybersecurity[.]com | 139.99.33[.]239 | 2024-07-08 |
| mxprodesign[.]com | 166.88.77[.]186 | 2024-07-12 |
| power-sync-services[.]com | 103.119.47[.]104 | 2024-07-06 |
SPECTRALVIPER: una visión estructural
Nuestro análisis de SPECTRALVIPER se alinea estrechamente con los hallazgos reportados por Elastic Security Labs. En lugar de reiterar detalles previamente publicados, ampliamos ese trabajo proporcionando información adicional sobre la estructura de las clases internas del malware.
Durante nuestra investigación, identificamos dos muestras que contenían información RTTI, lo que nos permitió reconstruir parcialmente una jerarquía de clases. Esta perspectiva ofrece mayor visibilidad sobre las capacidades de SPECTRALVIPER, así como su diseño arquitectónico subyacente.
A alto nivel, SPECTRALVIPER opera como un backdoor activo que se comunica con su servidor C&C a través de HTTPS. Inicia la comunicación enviando un beacon a una dirección hardcodeada utilizando un encabezado User-Agent predefinido, con datos de perfilado del host cifrados incrustados en el encabezado HTTP Cookie y precedidos euconsent-v2= o zd_cs_pm=.
Los nombres de dominio de C&C parecen ser cuidadosamente diseñados para cada campaña para mezclarse con el tráfico de red de la víctima. Por ejemplo, financemachinelearning[.]com se utilizó en operaciones dirigidas a inversores bursátiles, mientras que gatewayrvcenter[.]com se observó en actividad dirigida a la red de la empresa de construcción de infraestructura y transporte.
SPECTRALVIPER también admite movimiento lateral mediante un modelo de orquestación, en el que una instancia se designa como orquestador responsable de comunicarse con la infraestructura C&C. Este orquestador distribuye comandos a otros hosts comprometidos a través de canales named pipe. En el código, la comunicación entre instancias se implementa mediante métodos como XGU::Pivot::StartLink y XGU::Pivot::Internal::WaitNew_RemotePipe.
El análisis de estos nombres de métodos sugiere que XGU representa un framework interno que sustenta SPECTRALVIPER. La subclase Pivot hereda de XGU y es responsable de la funcionalidad de orquestación. Otra subclase clave, Feature, encapsula las capacidades de control remoto del malware, como se ilustra en la Figura 8.
Además de su rol como backdoor, SPECTRALVIPER funciona como un loader capaz de inyectarse —así como de inyectar binarios adicionales o shellcode recibidos desde el C&C— en procesos objetivo. En ambas campañas analizadas, SPECTRALVIPER se configuró inicialmente para ejecutarse en un rol de loader, inyectando su componente de backdoor en un proceso separado en lugar de depender de un loader independiente. Estas capacidades de manipulación de procesos e inyección se implementan mediante las clases ProcessReflector y ProcessManager, como se muestra en la Figura 9.
Conclusión
En este blogpost, hemos proporcionado actualizaciones sobre OceanLotus, un grupo APT alineado con Vietnam. Según nuestra telemetría, la actividad observada entre 2024 y 2026 sugiere que el grupo ha incrementado su enfoque en el espionaje doméstico. Describimos dos incidentes durante este período: un ataque a la cadena de suministro que utiliza FireAnt MetaKit para targeting de inversores bursátiles en Vietnam, y el compromiso de una empresa vietnamita de construcción de infraestructura y transporte. En ambos casos, OceanLotus desplegó su backdoor característico, SPECTRALVIPER, en los sistemas de las víctimas. Notablemente, una falla de seguridad operativa (OPSEC) resultó en la preservación de nombres RTTI en una muestra de SPECTRALVIPER, lo que permitió reconstruir aspectos de la arquitectura interna del backdoor.
Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, póngase en contacto con nosotros en threatintel@eset.com. ESET Research ofrece informes privados de inteligencia sobre APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.
IoC
Puede encontrar una lista completa de indicadores de compromiso (IoC) y muestras en nuestro repositorio de GitHub.
Archivos
| SHA‑1 | Filename | Detection | Description |
| 511B77459673EC42163F |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 59A8553A4F8130F576AB |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 9CA1A5C7F79882DB9135 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| A8E2BBBFCB86500322D2 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| F74F1FEB62B662CDA489 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| F8F8209987CA7F139DE6 |
setup.exe | Win32/TrojanDown |
SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 19A69F856EFA811C376F |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 490194E9BB5128ECA869 |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 51176139B0B2220B802C |
setup.exe | Win32/Agent.AICB | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 91F042F59BE4BDCB6E5E |
setup.exe | Win32/Agent.AICB | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| A177ED0BFFEB1EFE1D9D |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| B7B2D2DB544F9EEA7445 |
setup.exe | Generik.CPNQYWW | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 4AD36AD6C165B5174967 |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 57352B3CEEE32216E5AA |
setup.exe | Win32/Agent.AIBE | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 9BC06DF9F932746A05EE |
setup.exe | Generik.ETQXXVN | SPECTRALVIPER downloader delivered from the FireAnt update server. |
| 865A1739337D3303B3AB |
system.config |
Win64/Agent.GFV | SPECTRALVIPER backdoor. |
| B0FEA981D02F6F76DE81 |
NotificationC |
Win64/Agent.HRA | SPECTRALVIPER backdoor. |
| 48FEBB91A10D1462461A |
DtlCrashCatch |
Win64/Agent.HRA | SPECTRALVIPER backdoor. |
| 150764A71DEEF498DE6F |
SetupUi.dll | Win32/Agent_AGen |
SPECTRALVIPER backdoor. |
Red
| IP | Domain | Hosting provider | First seen | Details |
| 38.60.245[.]37 | leadingfilipin |
Kaopu Cloud HK Limited | 2025‑10‑05 | SPECTRALVIPER C&C server. |
| 139.99.33[.]239 | coachcybersecu |
OVH Singapore PTE. LTD | 2025‑09‑20 | SPECTRALVIPER C&C server. |
| 139.162.11[.]152 | N/A | Akamai Connected Cloud | 2025‑10‑02 | SPECTRALVIPER hosting server. |
| 139.180.128[.]42 | gatewayrvcente |
IRT‑CHOOPALLC‑AP | 2025‑09‑20 | SPECTRALVIPER C&C server. |
| 142.91.98[.]77 | N/A | LEASEWEB SINGAPORE PTE. LTD. | 2025‑12‑03 | SPECTRALVIPER hosting server. |
| 166.88.77[.]186 | mxprodesign[.] |
Evoxt Enterprise | 2025‑06‑23 | SPECTRALVIPER C&C server. |
| 194.68.26[.]241 | financemachine |
M247 Europe SRL | 2025‑10‑30 | SPECTRALVIPER C&C server. |
Técnicas MITRE ATT&CK
Esta tabla se ha elaborado utilizando la versión 19 del marco MITRE ATT&CK.
| Tactic | ID | Name | Description |
| Initial Access | T1195.002 | Supply Chain Compromise: Compromise Software Supply Chain | FireAnt MetaKit update servers were compromised. |
| T1190 | Exploit Public-Facing Application | Suspected Microsoft SQL RCE exploitation. | |
| Execution | T1059 | Command and Scripting Interpreter | SPECTRALVIPER was deployed using curl. |
| T1204 | User Execution | Users could have initiated the MetaKit update. | |
| Persistence | T1574.002 | Hijack Execution Flow: DLL Side-Loading | SPECTRALVIPER was executed via side-loading. |
| Defense Evasion | T1055 | Process Injection | SPECTRALVIPER can be injected into various processes. |
| T1036 | Masquerading | Side-loading hosts were renamed. | |
| T1027 | Obfuscated Files or Information | The malicious downloaders and the backdoor are heavily obfuscated. | |
| T1553.002 | Subvert Trust Controls: Code Signing | The absence of signature validation in FireAnt MetaKit update protocol was abused. | |
| Discovery | T1082 | System Information Discovery | The malicious downloaders and the backdoor profiled host machines. |
| Lateral Movement | T1570 | Lateral Tool Transfer | SPECTRALVIPER orchestration uses a named pipe. |
| T1021 | Remote Services | The SPECTRALVIPER orchestrator can distribute commands to other instances. | |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | SPECTRALVIPER and the downloader both use HTTPS. |
| T1573 | Encrypted Channel | All SPECTRALVIPER C&C communications are encrypted. | |
| T1105 | Ingress Tool Transfer | A fake update downloaded and executed SPECTRALVIPER. | |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | SPECTRALVIPER exfiltrates data over its C&C channel. |
