Nhóm New OceanLotus tái xuất vào tháng 11 năm 2024 sau thời gian hoạt động rải rác từ giữa năm 2022, triển khai chiến dịch gián điệp nhắm vào các lĩnh vực quân sự, năng lượng và hàng không vũ trụ tại Đông Á, Trung Á và châu Phi.
OceanLotus hay còn được gọi là APT32 là một tổ chức tấn công mạng nguy hiểm. Kể từ khi hoạt động, nhóm đã thực hiện nhiều cuộc tấn công vào Việt Nam Trung Quốc, cũng như nhiều nước khác trên thế giới.
Với khả năng tấn công vượt trội, nhóm này đã khai thác nhiều lỗ hổng zero-day và tấn công chuỗi cung ứng thông qua các bản cập nhật độc hại, đồng thời sử dụng các kỹ thuật bộ nhớ tiên tiến như process hollowing để xâm nhập hệ thống mục tiêu.
Một trong những chiến thuật đáng chú ý của nhóm là sử dụng công cụ Cobalt Strike để theo dõi và thu thập thông tin. Sau khi Trojan được triển khai, nó tự động chụp ảnh màn hình trên thiết bị của nạn nhân và gửi dữ liệu về máy chủ Command-and-Control (C2). Ngoài ra, nhóm này còn sử dụng các plugin hoạt động trên bộ nhớ để tìm kiếm và mã hóa dữ liệu nhạy cảm, như Filename Collection Plugin và Pipeline Trojan, nhằm tối ưu hóa việc thu thập và truyền dữ liệu.
Chiến dịch gián điệp này tập trung mạnh vào các dự án năng lượng và quân sự tại những khu vực chiến lược, đặc biệt là Trung Á và châu Phi. Nhóm đã thu thập thông tin về các dự án quốc phòng, danh sách nhân sự được điều động ra nước ngoài, cũng như các hoạt động triển khai quân sự tại những khu vực có lợi ích địa chính trị.
Sự tái xuất của nhóm New OceanLotus trùng khớp với một thỏa thuận hợp tác an ninh mạng giữa một quốc gia Đông Nam Á và một cường quốc khác, làm dấy lên nghi vấn về sự hậu thuẫn của nhà nước. Điều này cho thấy nhóm không chỉ hoạt động độc lập mà còn có khả năng phục vụ cho các mục tiêu chiến lược quốc gia.
