•       De mi-2024 à février 2026, le groupe APT OceanLotus, lié au Vietnam, a compromis le réseau d'une entreprise vietnamienne de construction d'infrastructures et de transports grâce à SPECTRALVIPER son implant caractéristique.

•       D'octobre 2025 à mars 2026, OceanLotus a mené une attaque contre la chaîne d'approvisionnement en utilisant FireAnt MetaKit, une plateforme logicielle largement utilisée par les investisseurs boursiers vietnamiens.

•       Ces cibles domestiques sont un changement dans le mode opératoire du groupe.

•       Ces nouvelles activités d'OceanLotus semblent faire partie du contexte actuel de lutte contre la corruption menée par les autorités vietnamiennes.    

Le suivi des activités d'OceanLotus par ESET Research entre 2024 et 2026 a mis en évidence une évolution de son orientation opérationnelle. Le groupe, lié au Vietnam, semble avoir adopté une approche plus sélective de ses opérations à l'étranger tout en accordant une importance croissante aux activités d'espionnage intérieur. Les chercheurs ont identifié deux campagnes distinctes utilisant la porte dérobée SPECTRALVIPER : une attaque de la chaîne d'approvisionnement visant des investisseurs boursiers vietnamiens, ainsi qu'une opération prolongée d'espionnage ciblant une entreprise vietnamienne spécialisée dans la construction d'infrastructures et les transports.

Il est difficile de déterminer si cette évolution constitue un ajustement temporaire ou un changement stratégique durable. Actif depuis plus de quinze ans, ce groupe APT continue de démontrer une grande maîtrise de ses outils et des tactiques particulièrement agressives. Il est notamment connu pour faire évoluer en permanence son arsenal de portes dérobées Windows et Linux, ainsi que pour développer des protocoles réseau spécifiques ou adapter ses capacités de collecte de données en fonction de ses objectifs opérationnels.

Entre 2017 et 2020, OceanLotus a attiré l'attention à la suite de nombreux rapports documentant ses activités de cyberespionnage. Celles-ci comprenaient notamment des attaques par compromission de sites web (« watering holes ») à grande échelle visant l'Asie du Sud-Est en 2017 et 2018, des intrusions dans les systèmes informatiques d'entreprises telles que BMW et Hyundai en 2019, ainsi que le ciblage d'un dissident vietnamien en Allemagne la même année. Le groupe a également été impliqué dans des opérations contre des défenseurs des droits de l'homme entre 2019 et 2020, ainsi que dans des activités d'espionnage visant la municipalité de Wuhan en 2020. Ses activités ont subi un revers la même année lorsque Facebook a publiquement identifié l'entreprise soupçonnée de servir de société écran à OceanLotus. À la suite de cette révélation, la couverture médiatique du groupe a fortement diminué et ses activités sont restées relativement discrètes pendant plusieurs années.

La première campagne récemment découverte concernait la compromission d'une entreprise de construction d'infrastructures et de transports entre mi-2024 et janvier 2026. La seconde, une attaque de la chaîne d'approvisionnement, s'est déroulée entre fin 2025 et mars 2026. Dans le cadre de cette opération, OceanLotus a compromis le serveur de mise à jour de FireAnt MetaKit, une plateforme vietnamienne d'investissement boursier, et a remplacé les mises à jour logicielles légitimes par une charge utile malveillante destinée à déployer SPECTRALVIPER. Cette campagne semble avoir ciblé des investisseurs vietnamiens et pourrait être liée aux récentes initiatives visant à promouvoir des réformes du marché des valeurs mobilières, ce qui suggère un possible objectif de surveillance ou d'enquête intérieure.

Dans les deux cas, OceanLotus a déployé la porte dérobée SPECTRALVIPER sur les systèmes des victimes. Une erreur de sécurité opérationnelle a permis de préserver les noms des informations relatives aux types d'exécution dans un échantillon du malware, offrant ainsi à ESET la possibilité de reconstituer une partie de son architecture interne. Malgré l'impact potentiellement important de cette attaque, ESET estime que seul un nombre limité d'individus a été infecté par SPECTRALVIPER, ce qui témoigne d'un ciblage particulièrement sélectif.

Les éléments recueillis indiquent un possible changement dans le mode opératoire d'OceanLotus. Depuis l'identification publique de sa société écran en 2020, le groupe semble privilégier une approche plus discrète et ciblée à l'international, tout en accordant une attention croissante aux cibles nationales.

Il convient également de noter que les activités récentes d'OceanLotus coïncident avec plusieurs évolutions importantes de la politique intérieure vietnamienne. Ces dernières années, les autorités ont lancé une vaste campagne anticorruption baptisée « Fournaise ardente ». À l'instar de la grande campagne menée par Xi Jinping en Chine, cette initiative du Parti communiste vise à démontrer à la population sa volonté et sa capacité à assainir ses rangs afin de préserver sa légitimité. Il est donc probable que l'appareil sécuritaire vietnamien mobilise aujourd'hui davantage de ressources pour lutter contre la corruption et la criminalité financière. ESET estime qu'OceanLotus pourrait être lié, directement ou indirectement, à ces efforts, ce qui expliquerait le recentrage apparent du groupe sur les activités de renseignement et de surveillance intérieure.

OceanLotus, également connu sous le nom d'APT32, est un groupe de cyberespionnage considéré comme proche des intérêts du gouvernement vietnamien. Selon les données télémétriques d'ESET, son activité remonterait à 2012, voire avant. OceanLotus cible principalement la Chine et l'Asie du Sud-Est, avec un intérêt particulier pour le Vietnam, et a été impliqué dans de nombreuses opérations allant de vastes campagnes de profilage numérique à des attaques ciblées contre des militants vietnamiens des droits de l'homme.