Jena - Die Hackergruppe OceanLotus hat jahrelang im Ausland spioniert und Dissidenten gejagt – auch in Deutschland. Jetzt deutet vieles darauf hin, dass die mutmaßlich von Vietnam gesteuerte Gruppe ihre Energie ins eigene Land lenkt und zwar zur Bekämpfung von Korruption in Vietnam. Dazu soll sie Schadsoftware über eine Börsenplattform verbreitet haben.
Forscher des europäischen Sicherheitsunternehmens ESET haben zwei neue Kampagnen aufgedeckt, die diesen Wandel im Modus Operandi zeigen. Ob es sich um eine vorübergehende Anpassung oder einen dauerhaften Kurswechsel handelt, ist offen. Klar ist nur: Die seit 15 Jahren aktive Gruppe agiert weiter aggressiv und einfallsreich bei ihren Werkzeugen.Angriffe auf vietnamesische DissidentenIn Deutschland wurde OceanLotus im Jahr 2020 durch eine gemeinsame Recherche vom BR und Zeit Online schlagartig bekannt. Damals nahm die Gruppe einen hier lebenden vietnamesischen Dissidenten ins Visier ( https://interaktiv.br.de/ocean-lotus/index.html ). Weitere Medienrecherchen zeigten kurz darauf, dass die Angreifer systematisch Regimekritiker, Aktivisten und Journalisten in Deutschland ausspähten. Zur selben Zeit versuchten die Hacker, BMW und Hyundai auszuspionieren.Vom Ausland ins InlandDiese Zeiten scheinen vorbei. 2020 enttarnte Facebook eine Firma, die offenbar als Tarnung für OceanLotus diente. Dann wurde es still um die Gruppe. Die neuen ESET Daten aus den Jahren 2024 bis 2026 belegen: Im Ausland geht OceanLotus heute vorsichtiger vor. Dafür rückt das eigene Land in den Fokus.Manipulierte Börsen-SoftwareZwischen Oktober 2025 und März 2026 kaperten die Angreifer den Update-Server von FireAnt MetaKit, einer in Vietnam verbreiteten Börsen-Software, und schoben Anlegern über gefälschte Updates ihre Schadsoftware SPECTRALVIPER unter. Auffällig ist: Obwohl der Angriff viele hätte treffen können, landete die Backdoor nur bei wenigen Nutzern. Die Security-Experten von ESET deuten dies als Zeichen für eine gezielte Auswahl. Schon zuvor, von Mitte 2024 bis Februar 2026, hatte sich OceanLotus monatelang im Netzwerk eines Infrastruktur- und Verkehrsbaukonzerns eingenistet. Ein Fehler der Angreifer verriet den Forschern dabei Teile des inneren Aufbaus der Schadsoftware.Im Schatten der KorruptionsjagdBeide Ziele passen ins Bild. Seit Jahren führt Vietnams kommunistische Partei einen großangelegten Feldzug gegen Korruption, genannt "??t lò" (dt. Brennender Ofen). Die Forscher halten es für möglich, dass der vietnamesische Sicherheitsapparat dafür immer mehr Mittel einsetzt und schließen auch eine Beteiligung von OceanLotus nicht aus. Das würde erklären, warum sich die Gruppe heute auf Anleger und Unternehmen im eigenen Land konzentriert statt auf Spionage im Ausland.Technisch weiterhin hochentwickeltUnverändert bleibt die technische Raffinesse der Gruppe. OceanLotus entwickelt kontinuierlich neue Werkzeuge und passt ihre Schadsoftware flexibel an unterschiedliche Ziele an. Fest steht jedoch: Die Gruppe zählt weiterhin zu den relevanten Akteuren im Bereich staatlich gesteuerter Cyberoperationen.Die vollständige Analyse hat ESET Research im Blog auf WeLiveSecurity.com veröffentlicht: https://www.welivesecurity.com/de/eset-research/oceanlotus-von-der-spionage-im-ausland-bis-hin-zu-angriffen-im-inland(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de