Nhóm tin tặc APT32 (tên khác: OceanLotus, SeaLotus, Cobalt Kitty) là một nhóm tin tặc được cho là có nguồn gốc từ Việt Nam.[1][2][3][4] Facebook tuyên bố điều tra của họ phát hiện nhóm này liên quan công ty có tên CyberOne Group, đặt tại Việt Nam. Công ty này còn mang các tên như CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet và Diacauso.[5]
Theo tường trình của Công ty an ninh mạng FireEye của Hoa Kỳ, APT32 không những tấn công xâm nhập hệ thống máy điện toán của các công ty ngoại quốc kinh doanh tại Việt Nam, mà còn tấn công cả các chính quyền ngoại quốc bằng cách cài các mã độc và những công cụ khác bán trên thị trường.[6] Đây cũng chính là nhóm mà công ty an ninh mạng Trung Quốc SkyEye Labs gọi là OceanLotus vào năm 2015.[7]
Nick Carr, quản lý cấp cao của FireEye có trách nhiệm đối phó với các nguy cơ tấn công và đe dọa an ninh mạng nói với đài CNBC rằng, cái làm cho tổ chức APT32 khác với các tổ chức tin tặc khác là những loại thông tin mà nhóm này muốn tìm kiếm cho thấy họ có liên hệ với chính quyền Việt Nam.[8] Ông Carr nói rằng thời điểm của các vụ tấn công tương ứng với lúc các nạn nhân đang phải đối phó với phía nhà cầm quyền về vấn đề luật lệ.[8]
Ông Carr nhận định, "Qua nhiều trường hợp ở đây, có vẻ như APT32 xâm nhập để điều tra xem hoạt động của các nạn nhân và đánh giá xem người ta có tuân theo luật lệ hay không." "Điều đó cho thấy khá bất thường và cách biệt hẳn với các hành động gián điệp và ăn cắp bản quyền trí tuệ của các tổ chức tin tặc Trung Quốc, hoặc gián điệp chính trị hay hoạt động thông tin như tổ chức tin tặc của Nga." [8]
Nạn nhân của APT32 gồm các công ty đầu tư sản xuất tại Việt Nam hay bán sản phẩm tiêu dùng hoặc kinh doanh khách sạn du lịch. Có dấu hiệu như họ cũng nhắm đến các công ty kỹ thuật, an ninh mạng của các công ty tư vấn có thể có mối quan hệ với các nhà đầu tư ngoại quốc. Trong số các nạn nhân, có một công ty của Đức bị tấn công hồi năm 2014, một công ty du lịch Trung Quốc và một công ty bán sản phẩm tiêu dùng của Mỹ.[6]
Theo Reuters, cũng nhóm này bị cho là có liên quan đến các vụ tấn công mạng nhắm vào giới nhà báo, các nhà bất đồng chính kiến và bloggers theo phúc trình của tổ chức Electronic Frontier Foundation năm 2013. Chính nhóm này cũng tấn công cả người Việt hải ngoại và đối tượng của họ cũng có cả các tổ chức truyền thông Việt Nam.[7]
Theo Bloomberg, APT32 bị cáo buộc là thủ phạm đứng sau những hoạt động tấn công nhắm vào các công ty sản xuất xe hơi nước ngoài như Toyota, Hyundai… Mục tiêu của họ có thể nhằm khai thác thông tin của những đối thủ này và phục vụ cho lợi ích của ngành công nghiệp xe hơi của Việt Nam, với ví dụ được nêu tên là hãng xe VinFast (thuộc tập đoàn VinGroup). Nhưng bản sửa đổi của bài báo sau đó đã bỏ đi VinFast.[9]
Bryce Boland, trưởng ban công nghệ Châu Á-Thái Bình Dương nói trong buổi họp báo hôm 25/5/2017 rằng FireEye phát hiện APT32 còn tấn công các cơ quan chính phủ Philippines: "Có thể suy đoán là việc này để lấy thông tin liên quan đến trang bị quân sự và tìm hiểu các tổ chức trong chính phủ đã hoạt động như thế nào để phòng khả năng xảy ra xung đột quân sự," Năm 2016, nhóm này đã tấn công một tập đoàn hàng hoá thương mại và hãng cơ sở hạ tầng công nghệ của Philippines, cùng với một số công ty, doanh nghiệp ở Việt Nam. FireEye nói rằng nhóm tin tặc liên tục cập nhật công nghệ đột nhập khai thác thông tin để chiếm đoạt nhiều thông tin quan trọng hơn.[10]
Tháng 2 năm 2020, FireEye cho biết nhóm tin tặc này đã tấn công vào một số cơ quan của chính quyền thành phố Vũ Hán, Trung Quốc trong nỗ lực khai thác thông tin liên quan đến đại dịch COVID-19.[11]
Hồi tháng 6/2015, tác giả Adam Segal viết rằng SkyEye, thuộc công ty Trung Quốc Qihoo 360 báo cáo là có một nhóm APT tấn công liên tục vào các mục tiêu của Trung Quốc như cơ quan chính phủ, các viện nghiên cứu và các công ty ở Bắc Kinh và Thiên Tân trong ba năm liền.[7][12]
Bộ Ngoại giao Việt Nam phủ nhận nội dung bản tường trình của FireEye. Trong một điện thư, bà Lê Thị Thu Hằng, phát ngôn viên Bộ Ngoại giao Việt Nam nói lời cáo buộc của FireEye là "không có căn cứ. Chính phủ Việt Nam không cho phép bất cứ hình thức tấn công mạng nào chống lại các tổ chức hay cá nhân. Tất cả mọi vụ tấn công mạng hoặc đe dọa an ninh mạng phải bị kết án và trừng phạt nặng nề phù hợp với luật lệ và các quy định," [8]
Theo Reuters đây là đầu tiên một cơ quan an ninh mạng chỉ vào Việt Nam là nguồn của các cuộc tấn công mạng được nhà nước thúc đẩy. Nó cũng là lần đầu FireEye phát nhãn APT - advanced persistent threat (đe dọa thường trực cao cấp), một thuật ngữ mà chỉ dành cho các nhóm tin tặc được nhà nước hỗ trợ, cho một nước bên ngoài Trung Quốc và Nga.[12]
In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots.