Accueil HIGH-TECH ESET Research : le cyberespionnage vietnamien se recentre sur ses propres frontières,...

ESET Research : le cyberespionnage vietnamien se recentre sur ses propres frontières, un signal à surveiller pour les investisseurs du Maghreb

ESET Research révèle qu'OceanLotus (APT32) a réorienté ses attaques vers des cibles vietnamiennes entre 2024 et 2026, compromettant infrastructures et plateformes d'investissement. Une alerte pour les entreprises et investisseurs du Maghreb exposés à des risques cyber comparables.

ESET Research vient de publier une analyse de deux campagnes menées entre 2024 et 2026 par OceanLotus, un groupe de cyberespionnage actif depuis plus de 15 ans. Fait notable : contrairement à ses habitudes passées, le groupe concentre désormais l’essentiel de ses attaques sur des cibles situées au Vietnam même, plutôt qu’à l’international.

Un groupe connu pour ses cibles internationales

OceanLotus, également appelé APT32, s’est fait connaître entre 2017 et 2020 avec des campagnes de piratage à grande échelle en Asie du Sud-Est, des intrusions chez des constructeurs automobiles comme BMW et Hyundai, et des opérations de surveillance visant des dissidents et défenseurs des droits humains. Sa visibilité publique avait ensuite fortement chuté après qu’une société écran liée au groupe a été démasquée par Facebook.

Selon ESET, le groupe a depuis changé de stratégie : il reste discret à l’étranger, mais a nettement intensifié ses activités de renseignement sur son propre territoire.

Deux campagnes distinctes reposant sur la même porte dérobée

  • Une entreprise vietnamienne du secteur des infrastructures et du transport a été compromise entre mi-2024 et janvier 2026, via la porte dérobée SPECTRALVIPER.
  • De fin 2025 à mars 2026, le groupe a détourné la plateforme d’investissement boursier FireAnt MetaKit, utilisée par des investisseurs vietnamiens, pour diffuser cette même porte dérobée via une attaque de la chaîne d’approvisionnement logicielle.

Dans ce second cas, les attaquants ont compromis le serveur de mise à jour de la plateforme pour y injecter une charge malveillante. Malgré un potentiel de diffusion massif, ESET n’a observé qu’un nombre restreint de victimes finales ayant réellement reçu SPECTRALVIPER, signe d’un ciblage très sélectif une fois l’accès obtenu.

Un contexte politique qui éclaire ce recentrage

Ce virage coïncide avec une vaste campagne anti-corruption menée actuellement au Vietnam, surnommée « Fourneau flamboyant », dans un esprit comparable à celle portée par Xi Jinping en Chine. ESET estime qu’OceanLotus pourrait appuyer les autorités vietnamiennes dans leurs efforts de surveillance financière et judiciaire, ce qui expliquerait en partie ce regain d’intérêt pour des cibles nationales stratégiques.

Un arsenal en constante évolution

ESET souligne qu’OceanLotus continue d’enrichir son arsenal de portes dérobées Windows et Linux, en s’appuyant sur des protocoles réseau propriétaires. Une erreur opérationnelle des attaquants — la conservation d’informations techniques normalement supprimées dans l’un des échantillons analysés — a par ailleurs permis aux chercheurs de mieux comprendre l’architecture interne du malware.

L’analyse technique complète de ces campagnes est disponible dans le billet de blog d’ESET Research publié sur WeLiveSecurity.com.