A OceanLotus é um grupo que dissemina bastantes malwares e tem a mira bem fixada em objetivos corporativos e governamentais de alto perfil no Sudeste Asiático, particularmente no Vietname, nas Filipinas, no Laos e no Camboja. Este grupo é conhecido por integrar técnicas de engenharia de malware já conhecidas nas suas criações e campanhas maliciosas.
A OceanLotus está imperável, e continua a perseguir os seus grandes objetivos que incluem ciberespionagem, reconhecimento e roubo de propriedade intelectual. Uma das backdoors mais recentes do grupo é uma ferramenta maliciosa que permite obter acesso remoto a uma máquina comprometida. A backdoor contém um conjunto de funcionalidades, nomeadamente uma série de ferramentas para manipulação de arquivos, registos e processos, bem como o carregamento de componentes adicionais.
O ataque começa com uma tentativa – provavelmente através de um e-mail spearphishing – para atrair a vítima pretendida a executar o ficheiro malicioso que está em anexo no e-mail.
Quando a vítima clica no ficheiro malicioso, é aberto um ficheiro protegido por password, apenas para chamar a atenção da vítima, enquanto o malware trata de efetuar as operações maliciosas em segundo plano.
The attackers use a number of decoy documents. To boost its aura of authenticity, each file has a rather carefully crafted – and usually English – name. ESET detects the files as Win32/TrojanDropper.Agent.RUI.
O whitepaper pode ser consultado neste endereço: OceanLotus: Old techniques, new backdoor.