Hacker di Stato in Vietnam: OceanLotus buca FireAnt e spia l’alta finanza

Il gruppo di cyber spionaggio OceanLotus, noto anche come APT32, è tornato al centro dell’attenzione con una serie di operazioni che evidenziano un significativo cambiamento strategico nelle sue attività. Le campagne osservate tra il 2024 e il 2026 mostrano infatti una crescente concentrazione su bersagli interni al Vietnam, in contrasto con il profilo più internazionale che aveva caratterizzato molte operazioni del passato. Le due attività più rilevanti riguardano la compromissione di una società vietnamita attiva nelle infrastrutture e nei trasporti attraverso il backdoor SPECTRALVIPER e un sofisticato attacco supply-chain contro FireAnt Metakit, una delle piattaforme finanziarie più diffuse tra gli investitori azionari del Paese. Le operazioni confermano la maturità tecnica del gruppo e suggeriscono un possibile allineamento con le priorità politiche e investigative emerse durante la campagna anti-corruzione vietnamita degli ultimi anni.

OceanLotus rafforza il focus sul Vietnam dopo anni di operazioni regionali

Attivo almeno dal 2012, OceanLotus rappresenta uno dei gruppi di spionaggio più longevi e sofisticati del Sud-est asiatico. Nel corso degli anni il gruppo è stato associato a campagne contro governi, aziende private, dissidenti politici e organizzazioni internazionali. Le sue attività hanno coinvolto Paesi come Cina, Laos, Cambogia e Vietnam, ma anche obiettivi occidentali legati a interessi economici e geopolitici regionali. Tra il 2017 e il 2020 il gruppo ha attirato l’attenzione internazionale attraverso operazioni contro aziende come BMW e Hyundai, campagne di tipo watering-hole, attività contro difensori dei diritti umani e azioni di sorveglianza rivolte a dissidenti vietnamiti residenti all’estero. Dopo l’esposizione pubblica del 2020, che portò anche all’identificazione di alcune società utilizzate come copertura, il gruppo ha ridotto la propria visibilità mediatica. Le campagne emerse tra il 2024 e il 2026 dimostrano però che APT32 non ha ridotto le proprie capacità operative ma ha semplicemente modificato il proprio focus, privilegiando obiettivi interni di elevato interesse strategico.

SPECTRALVIPER diventa il pilastro dell’arsenale OceanLotus

Le attività più recenti confermano il ruolo centrale di SPECTRALVIPER, il backdoor che rappresenta l’evoluzione più avanzata dell’arsenale malware di OceanLotus. Nel corso degli anni il gruppo ha sviluppato diversi strumenti offensivi come Denis, specializzato in DNS tunneling, PHOREAL, basato su comunicazioni ICMP, e WINDSHIELD, dotato di tecniche di bypass dei proxy aziendali. Con SPECTRALVIPER il gruppo introduce però un livello superiore di orchestrazione e controllo delle operazioni. Il malware non si limita a garantire accesso remoto ai sistemi compromessi ma integra funzionalità avanzate di coordinamento, persistenza e gestione dei payload. Un errore operativo commesso dagli attaccanti durante una delle campagne recenti ha inoltre consentito ai ricercatori di ottenere una visione più approfondita della struttura interna del malware, confermando come SPECTRALVIPER rappresenti oggi il principale strumento di intelligence utilizzato dal gruppo nelle operazioni di lungo periodo.

Una società di infrastrutture è rimasta compromessa per quasi due anni

La prima delle due campagne attribuite a OceanLotus riguarda una società vietnamita attiva nella costruzione di infrastrutture e reti di trasporto. L’intrusione è iniziata a metà del 2024 ed è proseguita fino almeno a febbraio 2026, dimostrando una capacità di persistenza particolarmente elevata. L’uso di SPECTRALVIPER ha consentito agli operatori di mantenere accesso continuo all’ambiente compromesso, raccogliendo informazioni e monitorando attività aziendali per un periodo estremamente lungo. Il settore delle infrastrutture rappresenta un obiettivo strategico di grande valore poiché consente di acquisire informazioni economiche, finanziarie e operative legate a progetti pubblici e privati di rilevanza nazionale. La durata dell’operazione suggerisce inoltre che l’obiettivo non fosse un semplice furto di dati ma un’attività continuativa di sorveglianza e raccolta di intelligence.

FireAnt Metakit diventa vittima di un attacco supply-chain

La seconda campagna rappresenta uno degli episodi più interessanti osservati recentemente nel panorama asiatico. Tra ottobre 2025 e marzo 2026, OceanLotus ha compromesso la catena di distribuzione software di FireAnt Metakit, piattaforma utilizzata da investitori e trader vietnamiti per accedere a dati finanziari storici e in tempo reale. Il software è largamente integrato con strumenti di analisi tecnica come AmiBroker, MetaStock e MetaTrader, rendendolo un punto di accesso privilegiato verso utenti con forte esposizione ai mercati finanziari. Gli attaccanti sono riusciti a compromettere il server legittimo di aggiornamento utilizzato dall’applicazione, trasformando un’infrastruttura affidabile in un veicolo di distribuzione malware. L’operazione costituisce un classico esempio di attacco supply-chain, nel quale la fiducia riposta in un fornitore viene sfruttata per colpire indirettamente gli utenti finali.

Il server di aggiornamento distribuiva payload malevoli

I ricercatori hanno individuato il primo payload malevolo distribuito tramite il server di aggiornamento di FireAnt il 2 ottobre 2025. L’URL utilizzato era quello autentico della piattaforma e puntava all’infrastruttura ufficiale dell’azienda, elemento che conferma la compromissione diretta della catena di distribuzione. La prima versione del downloader risultava relativamente semplice e poco offuscata. Utilizzava URL hardcoded per recuperare i componenti successivi dell’infezione e distribuiva una variante già nota di SPECTRALVIPER associata a infrastrutture precedentemente osservate nelle campagne di OceanLotus. A partire dal 17 ottobre 2025 gli operatori hanno però introdotto una versione molto più sofisticata del malware, dotata di pesanti tecniche di offuscamento e di una nuova infrastruttura di comando e controllo. Tra i domini utilizzati figurava financemachinelearning.com, registrato specificamente per questa campagna e chiaramente orientato verso il settore finanziario.

L’assenza di controlli di integrità ha favorito l’attacco

Uno degli aspetti più significativi dell’operazione riguarda le debolezze della piattaforma FireAnt. Il file version.xml utilizzato per distribuire gli aggiornamenti non implementava alcun meccanismo di verifica dell’integrità o autenticazione dei pacchetti software. Questa lacuna ha consentito agli attaccanti di sostituire gli aggiornamenti legittimi con componenti malevoli senza generare allarmi immediati. L’episodio evidenzia ancora una volta quanto la sicurezza della supply chain dipenda non soltanto dalla protezione delle infrastrutture ma anche dall’adozione di meccanismi crittografici robusti per la validazione degli aggiornamenti. L’assenza di firme digitali o controlli di integrità ha trasformato il processo di aggiornamento automatico in un efficace vettore di compromissione.

OceanLotus ha scelto pochi bersagli nonostante la diffusione del software

Uno degli elementi più interessanti della campagna riguarda il comportamento selettivo degli attaccanti. Sebbene FireAnt Metakit sia utilizzato da una vasta comunità di investitori e professionisti della finanza vietnamita, soltanto una piccola parte degli utenti esposti ha ricevuto il payload finale di SPECTRALVIPER. Questa scelta indica chiaramente che l’obiettivo dell’operazione non era la massima diffusione possibile del malware ma la compromissione mirata di individui e organizzazioni considerate strategicamente rilevanti. Il modello operativo ricorda quello delle più sofisticate operazioni di intelligence, nelle quali la qualità degli accessi ottenuti conta più del numero complessivo delle infezioni. OceanLotus dimostra così una notevole capacità di selezione e profilazione dei propri obiettivi.

La campagna anti-corruzione vietnamita offre un contesto significativo

Le attività osservate coincidono temporalmente con la vasta campagna anti-corruzione vietnamita conosciuta come Blazing Furnace. Negli ultimi anni le autorità del Paese hanno intensificato gli sforzi per contrastare corruzione, frodi finanziarie e abusi di potere. Solo nel 2025 circa 9.600 membri del partito sono stati sanzionati per reati economici e amministrativi. Due presidenti vietnamiti hanno lasciato l’incarico dopo essere stati associati a scandali di corruzione e, nello stesso periodo, le autorità finanziarie hanno rivelato che circa settanta grandi aziende avevano manipolato dati relativi al mercato obbligazionario. Le conseguenze economiche sono state rilevanti, con una flessione superiore al cinque per cento dell’indice azionario principale. In questo contesto, il targeting di investitori, operatori finanziari e società coinvolte nelle infrastrutture nazionali assume una rilevanza particolare.

Gli obiettivi coincidono con le aree sotto osservazione delle autorità

Le vittime individuate nelle campagne di OceanLotus risultano perfettamente coerenti con i settori maggiormente interessati dalle indagini anti-corruzione e dai controlli economici governativi. La società di infrastrutture compromessa opera in un comparto frequentemente coinvolto in grandi appalti pubblici, mentre FireAnt Metakit fornisce accesso diretto a informazioni e operatori del mercato azionario vietnamita. Questa coincidenza rafforza l’ipotesi che il gruppo stia svolgendo attività di intelligence orientate alla raccolta di informazioni utili per monitorare soggetti economici e finanziari di interesse nazionale. Pur non esistendo prove pubbliche definitive sul rapporto operativo tra OceanLotus e le autorità vietnamite, il profilo delle vittime e la tempistica delle operazioni alimentano ulteriormente le ipotesi di un utilizzo del gruppo come strumento di supporto informativo per obiettivi strategici interni.

OceanLotus conferma capacità di adattamento e innovazione

Le campagne osservate tra il 2024 e il 2026 dimostrano che OceanLotus continua a rappresentare una delle principali minacce di spionaggio informatico nell’area asiatica. L’utilizzo di SPECTRALVIPER, la compromissione della supply chain di FireAnt Metakit, la lunga persistenza all’interno di una società infrastrutturale e il targeting altamente selettivo mostrano un gruppo in grado di adattarsi rapidamente alle nuove priorità operative. Dopo anni di attività orientate prevalentemente verso obiettivi regionali e internazionali, APT32 sembra aver riallineato una parte significativa delle proprie risorse verso la raccolta di intelligence interna. La combinazione tra sofisticazione tecnica, selezione accurata delle vittime e capacità di mantenere accessi prolungati conferma che OceanLotus resta uno degli attori più rilevanti e pericolosi dell’attuale panorama di cyber spionaggio nel Sud-est asiatico.