A equipa de investigação da empresa de Cibersegurança, ESET, divulgou que identificou uma mudança no padrão de atuação do OceanLotus, um grupo de ciberespionagem alinhado com o Vietname, que parece estar a adotar uma abordagem mais seletiva no exterior, ao mesmo tempo que reforça o foco em alvos internos.
Os investigadores da ESET analisaram as atividades do grupo OceanLotus, entre 2024 e 2026, e identificaram duas campanhas distintas: uma operação prolongada contra uma empresa vietnamita de construção de infraestruturas e transportes e um ataque à cadeia de fornecimento através da plataforma FireAnt MetaKit, que é uma plataforma amplamente usada por investidores no mercado bolsista vietnamita.
A empresa europeia de cibersegurança, ESET, indicou que a primeira campanha começou em meados de 2024 e prolongou-se até janeiro de 2026. A segunda teve início no final de 2025 e decorreu até março de 2026. Neste último caso, o grupo comprometeu o servidor de atualizações da plataforma FireAnt MetaKit e substituiu atualizações legítimas por software malicioso.
Apesar do potencial impacto alargado deste tipo de operação, a ESET observou apenas um número reduzido de alvos efetivamente comprometidos, o que sugere uma seleção criteriosa. Para os investigadores, é um dado que reforça a hipótese do OceanLotus estar a privilegiar operações mais direcionadas e com objetivos específicos.
“O que os dados mais recentes mostram é que o OceanLotus continua ativo e tecnicamente sofisticado, mas com um padrão de atuação mais seletivo do que no passado. Essa combinação entre persistência, adaptação e foco torna o grupo particularmente relevante de acompanhar”, afirmou, citado em comunicado, Ricardo Neves, Responsável de Comunicação da ESET Portugal.
Para a ESET esta evolução poderá estar relacionada com desenvolvimentos recentes no cenário interno do Vietname, nomeadamente o reforço das campanhas anticorrupção conduzidas pelas autoridades. Pelo que os investigadores da ESET admitem que o aparelho de segurança vietnamita possa estar a dedicar mais recursos à monitorização interna, incluindo em áreas ligadas à atividade económica e financeira.
A ESET lembrou que o OceanLotus, também conhecido como APT32. Um grupo de ciberespionagem associado há vários anos a interesses do Estado vietnamita. Segundo a telemetria da ESET, a atividade atribuída a este grupo remonta, pelo menos, a 2012. Ao longo do tempo, o grupo tem visado sobretudo a China e países do Sudeste Asiático, com particular foco no Vietname, tendo sido associado a operações que vão desde campanhas alargadas de recolha de informação até ataques altamente direcionados contra ativistas vietnamitas dos direitos humanos.
Cadeia de execução do ataque à cadeia de abastecimento (supply-chain) do FireAnt
