# APT32 > [!info] OceanLotus - Espionagem Estatal Vietnamita > APT32 e um dos grupos APT mais sofisticados da Asia. Em 2024-2025, o grupo demonstrou capacidade de atacar **ONGs de direitos humanos** em campanhas multi-ano com acesso persistente de 4+ anos sem detecção, e evoluiu para **comprometer supply chains de desenvolvimento** distribuindo plugins Cobalt Strike backdoored no GitHub targeting pesquisadores de segurança. ## Visão Geral APT32 (OceanLotus) e um grupo de espionagem cibernética com forte evidência de patrocinio estatal vietnamita, ativo desde pelo menos 2012 e consistentemente alinhado com interesses geopoliticos, economicos e de segurança do governo do Vietna. O grupo tem historico extenso de operações contra governos, corporacoes multinacionais, dissidentes politicos, jornalistas e ONGs em toda a Asia-Pacifico, com expansao crescente para alvos globais. Em agosto de 2024, a Huntress documentou uma intrusão multi-ano contra uma ONG de direitos humanos vietnamita que permaneceu ativa por **quatro anos consecutivos** sem detecção, usando scheduled tasks e COM hijacking para persistência ultra-evasiva. Em 2025, o grupo escalou para **supply chain de desenvolvimento** ao distribuir um plugin backdoored de Cobalt Strike no GitHub, comprometendo pesquisadores de segurança que clonaram o repositorio. **Também conhecido como:** OceanLotus, SeaLotus, APT-C-00, Canvas Cyclone, BISMUTH, Cobalt Kitty, Ocean Buffalo, Lotus Bane **MITRE ATT&CK:** [G0050](https://attack.mitre.org/groups/G0050/) ## Evolução Tática 2024-2025 ```mermaid graph TB A["2012-2017<br/>Spear-phishing<br/>Word macros + watering holes"] --> B["2018-2020<br/>Watering hole avancado<br/>100+ sites comprometidos"] B --> C["2021-2023<br/>Backdoors customizados<br/>Linux/macOS targets"] C --> D["2024 - ONG Multi-ano<br/>4 anos sem detecção<br/>COM hijacking + tasks"] D --> E["2025 - Dev Supply Chain<br/>GitHub backdoored plugin<br/>Cobalt Strike trojanizado"] classDef phase1 fill:#1a5276,color:#fff,stroke:#154360 classDef phase2 fill:#8e44ad,color:#fff,stroke:#6c3483 classDef phase3 fill:#e67e22,color:#fff,stroke:#d35400 classDef phase4 fill:#c0392b,color:#fff,stroke:#922b21 classDef phase5 fill:#7b241c,color:#fff,stroke:#641e16 class A phase1 class B phase2 class C phase3 class D phase4 class E phase5 ``` ## Attack Flow - Campanha ONG 2024 ```mermaid graph TB A["Entrega<br/>Spear-phishing<br/>ou watering hole"] --> B["Execução<br/>Documento macro<br/>ou .suo file malicioso"] B --> C["Persistência<br/>Scheduled tasks<br/>COM object hijacking"] C --> D["Evasão<br/>DllHost.exe surrogaté<br/>blend com processos legit"] D --> E["Coleta<br/>Chrome cookies<br/>dados confidenciais 4 anos"] E --> F["Exfiltração<br/>C2 beaconing<br/>dados selecionados"] classDef delivery fill:#34495e,color:#fff,stroke:#2c3e50 classDef exec fill:#c0392b,color:#fff,stroke:#922b21 classDef persist fill:#e67e22,color:#fff,stroke:#d35400 classDef evade fill:#8e44ad,color:#fff,stroke:#6c3483 classDef collect fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A delivery class B exec class C persist class D evade class E collect class F exfil ``` ## TTPs Chave APT32 e notorio pela **paciencia operacional** - o grupo prioriza persistência de longo prazo e acesso continuo sobre exfiltração rapida. A intrusão de 4 anos contra ONG vietnamita em 2024 demonstra essa abordagem: múltiplas scheduled tasks com nomes imitando produtos Adobe e Windows Defender, COM object hijacking via DllHost.exe como surrogaté process, e coleta seletiva de dados de alto valor incluindo cookies do Chrome de todos os perfis de usuario. Em 2025, o grupo expandiu para **comprometer desenvolvedores e pesquisadores de segurança** via GitHub - vetor de ataque que explora a confiança em repositorios públicos. Um plugin Cobalt Strike backdoored continha um arquivo `.suo` (Visual Studio Solution User Options) malicioso que executava automaticamente ao compilar o projeto, exfiltrando identidade do usuario, detalhes de ambiente local e potencialmente credenciais de rede. ## Técnicas Utilizadas - [[t1550-002-pass-the-hash|T1550.002 - Pass the Hash]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1195-002-compromise-software-supply-chain|T1195.002 - Supply Chain Compromise]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] - [[t1552-002-credentials-in-registry|T1552.002 - Credentials in Registry]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] ## Software Utilizado - [[mimikatz|Mimikatz]] - [[s0585-kerrdown|Kerrdown]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[s0157-soundbite|SOUNDBITE]] - [[osxoceanlotusd|OSX_OCEANLOTUS.D]] - [[s0156-komprogo|KOMPROGO]] - [[s1078-rotajkiro|RotaJákiro]] - [[s0158-phoreal|PHOREAL]] ## Historico de Operacoes Notaveis | Ano | Operação | Alvo | Técnica | | --- | -------- | ---- | ------- | | 2017 | Cobalt Kitty | Corporacao global Asia | Watering hole + Cobalt Strike | | 2018 | Phnom Penh Post | Media Cambogia | Watering hole pos-aquisicao | | 2020 | COVID Espionagem | Governo Wuhan/China | Spear-phishing COVID-19 | | 2020 | BMW/Hyundai breach | Automoveis | Intrusion corporativa | | 2024 | ONG multi-ano | Direitos humanos Vietnam | 4 anos persistência COM hijacking | | 2025 | Dev supply chain | Pesquisadores segurança | GitHub backdoored .suo plugin | ## Relevância para o Brasil e LATAM > [!warning] Risco para Corporacoes Brasileiras com Operacoes no Vietna > APT32 representa ameaça diferenciada para o Brasil. O grupo historicamente compromete **corporacoes multinacionais com interesses economicos no Vietna** - empresas brasileiras expandindo para mercados vietnamitas (agropecuaria, manufatura, hospitalidade) sao alvos potenciais. Pesquisadores de segurança brasileiros que utilizam ferramentas de segurança open-source do GitHub devem verificar a proveniencia de projetos Cobalt Strike/red team antes de compilar. Dissidentes vietnamitas residentes no Brasil e jornalistas cobrindo questoes de direitos humanos no Vietna sao alvos diretos confirmados pelo grupo. ONGs brasileiras com programas em Sudeste Asiatico também estao no perfil de alvos. A evolução para supply chain de desenvolvimento torna pesquisadores de segurança e times de red team brasileiros vulneraveis a vetores anteriormente associados apenas a APTs patrocinados por China/Russia. --- *Fontes: [MITRE ATT&CK - G0050](https://attack.mitre.org/groups/G0050) | [Huntress - Vietnamese NGO Intrusion](https://thehackernews.com/2024/08/vietnamese-human-rights-group-targeted.html) | [Brandefense APT32 2025](https://brandefense.io/blog/apt32-targeting-ngos-2025/)*