Un gruppo di difesa dei diritti umani vietnamiti è stato oggetto di un attacco informatico pluriennale orchestrato da APT32, un gruppo di hacker allineati al Vietnam noto anche come APT-C-00, Canvas Cyclone, Cobalt Kitty e OceanLotus. Questo attacco, attribuito agli hacker da Huntress, una società di cybersecurity, è stato attivo per almeno quattro anni. L'obiettivo principale di APT32 è stato quello di introdurre vari tipi di malware nei sistemi compromessi.

OceanLotus

OceanLotus, attivo almeno dal 2012, è noto per prendere di mira reti aziendali e governative in paesi dell'Asia orientale come Vietnam, Filippine, Laos e Cambogia. L'intento principale di queste operazioni è il cyber spionaggio e il furto di proprietà intellettuale. Le catene di attacco tipicamente utilizzano esche di spear-phishing come vettore iniziale di penetrazione. Queste esche permettono di installare backdoor capaci di eseguire shellcode arbitrario e raccogliere informazioni sensibili. Inoltre, il gruppo è stato osservato orchestrare campagne di watering hole dal 2018 per infettare i visitatori dei siti con payload di ricognizione o per raccogliere le loro credenziali.

Nel caso specifico analizzato da Huntress, gli attacchi hanno coinvolto quattro host, ognuno dei quali è stato compromesso per aggiungere varie attività pianificate e chiavi del Registro di sistema di Windows. Queste modifiche sono responsabili del lancio di Cobalt Strike Beacons, una backdoor che consente il furto di cookie di Google Chrome per tutti i profili utente sul sistema e di loader responsabili del lancio di payload DLL incorporati.

Questo attacco si inserisce in un contesto più ampio dove gli utenti sudcoreani sono attualmente bersaglio di una campagna in corso che sfrutta spear-phishing e server Microsoft Exchange vulnerabili per distribuire shell inverse, backdoor e malware VNC. L'obiettivo è quello di ottenere il controllo delle macchine infette e rubare credenziali memorizzate nei browser web.

APT32, attraverso tecniche sofisticate e mirate, è riuscito a mantenere un'operazione di cyber spionaggio di lunga durata, dimostrando la necessità per organizzazioni e governi di rimanere vigili e aggiornati sulle ultime minacce informatiche. La capacità di APT32 di adattarsi e evolversi con nuove tecniche mostra la crescente complessità del panorama delle minacce informatiche, richiedendo soluzioni avanzate e personalizzate per la protezione delle reti e dei dati sensibili.