ESET Research publie une analyse détaillée des opérations menées entre 2024 et 2026 par OceanLotus (APT32), groupe de cyberespionnage aligné sur les intérêts vietnamiens. Le rapport documente deux campagnes distinctes reposant sur la backdoor SPECTRALVIPER, dont une attaque de la chaîne d’approvisionnement logicielle contre une plateforme d’investissement boursier — une opération qui illustre une évolution notable du ciblage géographique du groupe.
Un groupe APT vétéran qui se réinvente
Actif depuis au moins 2012 selon la télémétrie d’ESET, OceanLotus a construit sa réputation entre 2017 et 2020 avec des campagnes de watering hole en Asie du Sud-Est, des intrusions chez BMW et Hyundai, ainsi que des opérations contre des dissidents et défenseurs des droits humains. L’exposition d’une société écran liée au groupe par Facebook avait ensuite entraîné une baisse durable de sa visibilité publique.
Le rapport d’ESET met en évidence un pivot opérationnel : le groupe semble désormais privilégier la discrétion à l’international tout en intensifiant fortement ses activités de renseignement sur le territoire vietnamien, en s’appuyant sur un arsenal de backdoors Windows et Linux enrichi en continu, avec des protocoles réseau propriétaires et des capacités de collecte de données taillées sur mesure.
Campagne 1 : compromission de long terme d’un acteur des infrastructures
La première campagne documentée par ESET vise une entreprise vietnamienne du secteur des infrastructures et du transport. La compromission a débuté à la mi-2024 et s’est maintenue jusqu’en janvier 2026, soit une présence prolongée dans l’environnement de la victime, caractéristique des opérations de cyberespionnage à finalité de renseignement plutôt que de sabotage.
Campagne 2 : détournement de la chaîne d’approvisionnement de FireAnt MetaKit
- Période d’activité : octobre 2025 à mars 2026.
- Vecteur : compromission du serveur de mise à jour de FireAnt MetaKit, plateforme utilisée par des investisseurs boursiers vietnamiens.
- Charge finale : déploiement de la backdoor SPECTRALVIPER sur un nombre restreint de victimes.
Malgré un potentiel de diffusion massif inhérent à toute attaque de supply chain, ESET n’a observé qu’un nombre limité de victimes finales ayant réellement reçu SPECTRALVIPER — signe d’un ciblage post-compromission extrêmement sélectif, probablement piloté par des critères de profil d’investisseur ou d’intérêt spécifique pour les opérateurs.
Cette opération s’inscrit dans le contexte des réformes récentes du marché vietnamien des valeurs mobilières, ce qui suggère un objectif de surveillance ou d’investigation interne plutôt qu’une motivation purement financière.
Détails techniques : une erreur opérationnelle qui aide l’attribution
Sur le plan technique, ESET souligne qu’un des échantillons de SPECTRALVIPER analysés a conservé des informations de type d’exécution (RTTI — Run-Time Type Information), habituellement supprimées en production. Cette erreur opérationnelle des attaquants a permis aux chercheurs de reconstituer certains éléments de l’architecture interne du malware, facilitant le suivi de ses évolutions successives.
Le contexte géopolitique : la campagne anti-corruption « Fourneau flamboyant »
Le recentrage domestique d’OceanLotus coïncide avec la campagne anti-corruption vietnamienne « Fourneau flamboyant », dont l’esprit rappelle l’initiative portée par Xi Jinping en Chine. ESET estime que ce programme pousse probablement les autorités vietnamiennes à mobiliser davantage de ressources de cybersurveillance sur les volets financiers et criminels — un contexte dans lequel OceanLotus pourrait jouer un rôle d’appui, expliquant en partie son intérêt renouvelé pour les cibles nationales stratégiques.
L’analyse technique complète, incluant les indicateurs de compromission (IoC), est disponible dans le billet de blog ESET Research « OceanLotus : de l’espionnage externe au ciblage national », publié sur WeLiveSecurity.com.


