El grupo OceanLotus ha estado activo desde el 2013, y de acuerdo a algunos expertos, es un grupo de hackers vinculados al estado de Vietnam, Filipinas, Laos y Camboya.
Los hackers tienen como objetivo una amplia gama de industrias, algunos gobiernos extranjeros, disidentes y periodistas.
Desde el 2014, expertos de FireEye han observado que ATP32 ha atacado a corporaciones extranjeras que tienen interés en empresas de Manifactura vietnamita, y sectores hospitalarios. ATP32 ademas tiene como objetivo a Empresas de Redes de Seguridad Perimetral y de infraestructura, empresas con seguridad que puedan tener inversiones extranjeras.
Investigadores de Volexity han rastreado el actuar de esta amenaza desde Mayo del 2017, y han observado ataques dirigido a la Asociación de naciones del Sudeste asiático(ASEAN), Derechos Humanos, y Organizaciones de Sociedad Civil.
“OceanLotus continua una actividad dirigida a redes de compañías y entes gubernamentales en países asiáticos. Hace unos pocos meses, hemos descubierto y analizado sus últimos backdoors, los cuales engañan al usuario para que se ejecute el backdoor” Se indica en la investigación.
“Los ataques de OceanLotus se lleva a cabo en dos etapas, el primero esparcir el ataque mediante mensajes de Phishing, para ganar el equipo como pivote… luego este código prepara la segunda fase del BackDoor”
El malware se disfraza de un actualizador de fuentes, popularizado en esas zonas de Asia. La aplicación falsa, funciona como gotero de otra aplicación(Esto quiere decir que trabaja descargando otras aplicaciones que por lo general provienen de Centros de Comandos).
El malware posee un módulo de ofuscación de código el cual le permite poder evadir su detección. Dentro del accionar de esta aplicación, logra poder obtener persistencia dentro del sistema creando un servicio dentro de Windows si los privilegios de administrador están disponibles, en caso contrario crea un registro en el sistema para mantenerse operativo.
“Una vez más, OceanLotus demuestra que el equipo está activo y continúa actualizando su conjunto de herramientas. Esto también demuestra su intención de permanecer oculto eligiendo sus objetivos, limitando la distribución de su malware y usando varios servidores diferentes para evitar atraer atención a un solo dominio o dirección IP “, concluye ESET.