Siber güvenlik şirketi ESET, Vietnam ile bağlantılı OceanLotus APT grubunun operasyonel stratejisinde önemli bir değişim tespit etti. 2024 ile 2026 yılları arasındaki araştırmalara göre grup, dış operasyonlardan çekilmeyi tercih ederek iç hedeflere yönelik casusluk faaliyetlerine artan oranda yoğunlaşmıştır. Bu değişim, grubun yazılım güncellemeleri aracılığıyla gerçekleştirdiği sofistike tedarik zinciri saldırılarında açıkça gözlemlenmiştir.
OceanLotus, kendine özgü SPECTRALVIPER arka kapısını kullanarak bir Vietnamlı altyapı ve ulaştırma inşaat şirketinin ağını ele geçirmiştir. Ekim 2025'ten Mart 2026'ya kadarki dönemde ise borsa yatırımcıları tarafından yaygın olarak kullanılan FireAnt MetaKit yazılım platformunun güncellemeleri aracılığıyla hedeflenen bir tedarik zinciri saldırısı düzenlenmiştir. Grup, saldırılarında Windows ve Linux platformlarında kullanabileceği arka kapı cephaneliğini sürekli güncellemekte ve benzersiz ağ protokolleri ile çalışmaktadır.
15 yıllık operasyonel geçmişe sahip OceanLotus, geçmişte Güneydoğu Asya'daki watering-hole saldırıları, BMW ve Hyundai gibi küresel şirketlere yönelik sızmalar ve insan hakları savunucularına karşı operasyonlarla bilinen bir grup olmuştur. 2020'deki Facebook tarafından yapılan ifşa sonrasında ise faaliyetlerini daha az görünür şekilde sürdürmeyi tercih etmiş durumdadır.
