ESET Research: aan China gelinkte FishMonger moderniseert zijn arsenaal en richt zich op Azië en Latijns-Amerika

·       ESET Research heeft twee nog niet gedocumenteerde Windows-varianten van FishMonger's SprySOCKS-backdoor ontdekt.
·       De ESET-telemetrie toont activiteit tussen 2023 en 2024, vooral gericht op overheidsorganisaties in Taiwan, Thailand, Pakistan en Honduras.
·       Beide Windows-varianten ondersteunen communicatie via TCP-, UDP- en WebSocket-protocollen en gebruiken meer dan 30 commando's.
·       De Windows WIN_DRV-variant creëert een onopvallende, passieve TCP-backdoor, die een kernelstuurprogramma gebruikt om verkeer naar de verborgen TCP-poort van de backdoor te leiden wanneer speciaal geconstrueerde gegevens in een ontvangen TCP-pakket gedetecteerd worden.
 
BRATISLAVA, 16 juni 2026 — Onderzoekers van ESET hebben twee nog niet gedocumenteerde Windows-varianten (WIN_DRV en WIN_PLUS) van SprySOCKS ontdekt, een backdoor die vroeger enkel voor Linux beschikbaar was en zou gebruikt zijn door FishMonger, een groep wellicht geleid door I-SOON, een Chinese contractor. Hoewel ESET de malware-stalen eerst op VirusTotal in april 2024 ontdekte, toont de ESET-telemetrie reële activiteiten tussen 2023 en 2024, met als doelwit overheidsorganisaties en meerdere slachtoffers in Taiwan, Thailand, Pakistan en Honduras.

De WIN_DRV-variant ondersteunt meer dan 30 Command and Control (C&C)-opdrachten, die diverse functionaliteiten omvatten, waaronder het verzamelen van systeeminformatie en het opsommen van processen alsook functies voor service- en bestandsbeheer; zoals het weergeven, aanmaken, verwijderen en overdragen van bestanden.

Naast de kernfunctionaliteit van de backdoor, gebruikt die van FishMonger een kernel-stuurprogramma voor geavanceerde verborgen functionaliteiten. SprySOCKS gebruikt dit programma om de netwerkverbindingen, processen, bestanden en registersleutels van de malware te verbergen en maakt TCP-omleidingen mogelijk. Zo kunnen de operatoren van de malware commando's naar de backdoor sturen via een willekeurige TCP-poort op het toestel van het slachtoffer, zonder dat de werkelijke luisterpoort van de backdoor in het netwerk zichtbaar wordt.

 "De Windows-versie behoudt het grootste deel van de kernarchitectuur van zijn Linux-voorganger – inclusief het C&C-protocol, de encryptie en de logica voor het afhandelen van commando's – terwijl, waar nodig, Windows-eigen mechanismen gebruikt worden en de onzichtbaarheid van de backdoor verbeterd wordt door het gebruik van de kernel-stuurprogramma's. Door enkele aanwijzingen voor mogelijke betrokkenheid van een UEFI-bootkit, adviseren we om de activiteiten van de groep goed in de gaten te houden", aldus ESET-onderzoeker Martin Smolár, die het nieuwste arsenaal van FishMonger ontdekte en analyseerde.

 Volgens de ESET-telemetrie zijn er toch aanwijzingen dat sommige SprySOCKS-aanvalsscenario's een UEFI-bootkitcomponent zouden omvatten, mogelijk met gebruik van CVE 2023 24932.

 FishMonger – vermoedelijk beheerd door een Chinese contractor, I-SOON genaamd – is een cyberespionagegroep die onder de Winnti Group valt en hoogstwaarschijnlijk vanuit de stad Chengdu in China werkt. De groep is ook bekend onder de namen Earth Lusca, TAG-22, Aquatic Panda of Red Dev 10. ESET Research bracht begin 2020 een analyse van FishMonger, toen de groep zich sinds de burgerprotesten van juni 2019 vooral op universiteiten in Hongkong richtte. De groep voert ook zogenaamde 'watering-hole'-aanvallen uit. FishMonger gebruikt onder andere de tools ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS en de BIOPASS RAT.

 Voor een meer gedetailleerde analyse van FishMonger's nieuwste wapenarsenaal, raadpleeg de blog van ESET Research op www.WeLiveSecurity.com : “Fishmonger’s arsenal upgraded: SprySOCKS for Windows”. Volg ESET Research op X , BlueSky en Mastodon voor het laatste nieuws van ESET Research.

 Over ESET

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI te combineren met menselijke expertise, blijft ESET de opkomende wereldwijde cyberdreigingen, zowel bekende als onbekende, een stap voor en beveiligt bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele beveiliging, ESET’s AI-native, cloud-first oplossingen en services blijven zeer effectief en gebruiksvriendelijk. Zijn technologie omvat robuuste detectie en respons, ultrabeveiligde encryptie en multifactorauthenticatie. Met 24/7 realtime beveiliging en sterke lokale ondersteuning zorgt het bedrijf ervoor dat gebruikers veilig zijn en bedrijven ongestoord kunnen blijven functioneren. Het steeds veranderende digitale landschap vraagt een progressieve beveiligingsbenadering. ESET zet zich in voor onderzoek van wereldklasse en krachtige dreigingsinformatie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek, voor meer informatie, www.eset.com of volg ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.

 

Vietnam-aligned OceanLotus pivots to spy on domestic targets as it takes a more selective approach abroad, ESET Research finds

 

·       From mid-2024 to February 2026, Vietnam-aligned APT group OceanLotus compromised the network of a Vietnamese infrastructure and transport construction corporation with its signature implant, SPECTRALVIPER. 

·      From October 2025 to March 2026, OceanLotus carried out a supply-chain attack leveraging FireAnt MetaKit, a software platform widely used by stock market investors in Vietnam. 

·       Domestic targets represent a shift in operational patterns for this group.

·       OceanLotus’s latest activities seem to align with various recent developments taking place on Vietnam’s domestic scene as Vietnamese authorities have embarked upon a major crusade against corruption.

 

BRATISLAVA, MONTREAL — June 11, 2026 — ESET Research’s tracking of OceanLotus activities from 2024–2026 has revealed a shift in operational focus as the Vietnam-aligned group adopted a more selective approach to external operations while placing increasing emphasis on domestic espionage. ESET researchers identified two distinct campaigns involving the SPECTRALVIPER backdoor: a supply-chain attack targeting stock market investors in Vietnam, and a prolonged espionage operation against a Vietnamese infrastructure and transport construction company.

Whether the shift represents a temporary adjustment or a long-term strategic change remains unclear; however, this 15-year-old APT group continues to demonstrate aggressive tactics and a level of craftiness in its tooling. OceanLotus is known for continuously innovating and expanding its arsenal of Windows and Linux backdoors, often implementing unique network protocols or tailoring the data collection capabilities to specific operational objectives.

Between 2017 and 2020, OceanLotus attracted significant public attention following multiple reports detailing its cyberespionage activities. These included large-scale watering-hole attacks targeting Southeast Asia in 2017–2018, intrusions into corporations such as BMW and Hyundai in 2019, and the targeting of a Vietnamese dissident in Germany that same year. The group was also linked to operations against human rights defenders between 2019 and 2020, as well as espionage targeting the Wuhan municipal government in 2020. However, the group’s operations faced a setback in 2020 when Facebook publicly identified the company believed to be used as a front for OceanLotus. Following this exposure, public reporting on the group diminished significantly, and its activities received comparatively little attention for several years.

The first campaign involved the newly discovered compromise of an infrastructure and transport construction corporation. This intrusion began in mid-2024 and persisted through January 2026. The second campaign was a supply-chain attack that began in late 2025 and continued until March 2026. In this operation, OceanLotus compromised the update server of FireAnt MetaKit, a Vietnamese stock investment platform, and replaced legitimate software updates with a malicious payload that ultimately deployed SPECTRALVIPER. This campaign appears to have targeted stock investors and may be linked to Vietnam’s recent efforts to promote securities market reforms, suggesting a possible connection to domestic monitoring or investigative objectives.

In both cases, OceanLotus deployed its signature backdoor, SPECTRALVIPER, on victim’s systems. Notably, an operational security lapse resulted in run-time type information names being left intact in a SPECTRALVIPER sample, enabling us to reconstruct aspects of the backdoor’s internal architecture. Despite the broad potential impact of such an attack, ESET observed only a few individuals who ultimately received SPECTRALVIPER, indicating selective targeting. 

Overall, the available evidence points to a potential shift in OceanLotus’s operational patterns. Since the exposure of its physical front company in 2020, the group appears to have adopted a more selective approach to foreign espionage while placing increasing emphasis on domestic targets.

It is worth noting that OceanLotus’s latest activities seem to align with various recent developments taking place on Vietnam’s domestic scene. In recent years, Vietnamese authorities have embarked upon a major crusade against corruption — a program baptized Blazing Furnace. Similar to Xi Jinping’s big anti-corruption push in China, this effort, launched by the Communist Party of Vietnam, is intended to demonstrate to the population that the party is willing and able to clean up its ranks to maintain its legitimacy. In this context, it seems likely that Vietnam’s security apparatus is now deploying increasingly important resources to fight corruption (and financial crime more broadly). ESET believes that OceanLotus could be somehow associated with these efforts, and that this may be another reason behind the group’s apparent refocus on domestic intelligence and surveillance.

OceanLotus, also known as APT32, is a cyberespionage group reportedly aligned with the interests of the Vietnamese government. According to ESET telemetry, activity attributed to this group dates back to 2012, and possibly earlier. OceanLotus mainly targets China and Southeast Asia (with a focus on Vietnam); it has been associated with a variety of operations, ranging from a massive digital profiling campaign to highly targeted attacks against Vietnamese human-rights activists.

For more details about OceanLotus and its latest campaign, check out the ESET Research blogpost, “OceanLotus: From external espionage to domestic targeting,” on WeLiveSecurity.com. Make sure to follow ESET Research on Twitter (today known as X), BlueSky, and Mastodon for the latest news from ESET Research.

About ESET

1. ESET® provides cutting-edge cybersecurity to prevent attacks before they happen. By combining the power of AI and human expertise, ESET stays ahead of emerging global cyberthreats, both known and unknown — securing businesses, critical infrastructure, and individuals. Whether it’s endpoint, cloud, or mobile protection, our AI-native, cloud-first solutions and services remain highly effective and easy to use. ESET technology includes robust detection and response, ultra-secure encryption, and multifactor authentication. With 24/7 real-time defense and strong local support, we keep users safe and businesses running without interruption. The ever-evolving digital landscape demands a progressive approach to security: ESET is committed to world-class research and powerful threat intelligence, backed by R&D centers and a strong global partner network. For more information, visit www.eset.com or follow our social media, podcasts, and blogs