ESET beschreibt die beiden Angriffsserien als getrennte, aber in Werkzeugen und Zielsetzung verwandte Operationen. Im Zentrum steht jeweils SPECTRALVIPER, eine Hintertür, die Elastic Security Labs bereits im Juni 2023 dokumentiert hatte, als OceanLotus nach einer längeren Phase der Unsichtbarkeit wieder mit einer Kampagne gegen vietnamesische börsennotierte Unternehmen in Erscheinung trat. Zu den weiteren bekannten Werkzeugen der Gruppe zählen laut Quelle SOUNDBITE, auch Denis genannt, PHOREAL, auch Rizzo genannt, und WINDSHIELD, auch Remy genannt.
Besondere Aufmerksamkeit verdient der Lieferkettenangriff auf FireAnt Metakit. Nach Angaben von ESET begann er wahrscheinlich um den 2. Oktober 2025 und dauerte bis März 2026. Die Angreifer nutzten demnach die legitime Update-URL der Software, um an eine kleine Teilmenge vietnamesischer Börsenanleger SPECTRALVIPER auszuliefern. ESET wertet das als Hinweis auf ein selektiveres Vorgehen.
Technisch begünstigt wurde der Angriff durch eine fehlende Integritätsprüfung in der Update-Konfiguration unter „metakit.fireant[.]vn/Software/version.xml“. Dadurch wurde nicht verifiziert, ob die Update-Datei „setup.exe“ manipuliert worden war. ESET erklärte, dass Metakit.exe wegen der fehlenden Signaturprüfung den bösartigen Downloader als legitimes Update ausführte. Nach dem Start führte dieser eine grundlegende Erkundung des Systems durch und übermittelte die gesammelten Informationen per HTTP-POST an einen Staging-Server, um die nächste Stufe der Schadsoftware anzufordern.
Die nächste Stufe bestand laut ESET aus einer DLL-Side-Loading-Kette. Dabei wurde eine legitime Binärdatei genutzt, um die präparierte DLL „DtlCrashCatch.dll“ zu laden. Diese injizierte sich anschließend in den Prozess OneDrive.Sync.Service.exe und startete so SPECTRALVIPER. Die Hintertür nahm danach Verbindung zum Kommando-und-Kontroll-Server „financemachinelearning[.]com“ auf, um verschlüsselte Host-Informationen zu übertragen. Seit dem 9. März 2026 habe ESET keine weiteren schädlichen Updates über diesen kompromittierten Kanal mehr beobachtet.
Parallel dazu untersuchte ESET eine länger laufende Spionageoperation gegen ein ungenanntes vietnamesisches Unternehmen aus Infrastruktur- und Verkehrsbau. Die Angriffe begannen demnach spätestens im November 2024, und OceanLotus hielt den Zugang bis Februar 2026 aufrecht. Wie der Erstzugang erfolgte, ist laut ESET nicht abschließend geklärt; vermutet wird die Ausnutzung von Schwachstellen zur Remotecodeausführung in einem öffentlich erreichbaren Microsoft-SQL-Server.
Auch in diesem Fall diente DLL-Side-Loading zur Verteilung von SPECTRALVIPER. ESET identifizierte auf mehreren kompromittierten Systemen im selben Netzwerk drei verschiedene Varianten der Malware. Diese kommunizierten mit dem Kommando-und-Kontroll-Server „gatewayrvcenter[.]com“, um Daten zur Profilbildung des betroffenen Systems zu senden und Befehle der Angreifer zu empfangen. Zudem unterstützt SPECTRALVIPER laterale Bewegung im Netzwerk und fungiert als Loader, indem zusätzliche Binärdateien oder Shellcode aus dem C2-Server in Zielprozesse injiziert werden.
ESET sieht in den aktuellen Fällen Anzeichen für eine Veränderung der Operationsmuster von OceanLotus. Die Gruppe war 2020 von Meta mit dem vietnamesischen IT-Unternehmen CyberOne Group in Verbindung gebracht worden, das auch unter den Namen CyberOne Security, CyberOne Technologies und Hành Tinh Company Limited bekannt ist. Das Unternehmen wies die Vorwürfe zurück. Die öffentliche Enthüllung habe jedoch dazu geführt, dass die Gruppe fast drei Jahre lang von der Bildfläche verschwand. Nun, so ESET, deute die verfügbare Beweislage darauf hin, dass OceanLotus ausländische Spionage selektiver betreibt und gleichzeitig den Fokus stärker auf inländische Ziele verlagert.