Atores ligados à Coreia do Norte estão por trás de uma nova onda de ataques direcionados a empresas europeias do setor de defesa, na campanha contínua conhecida como Operation Dream Job.
Pesquisadores de segurança da ESET, Peter Kálnai e Alexis Rapin, afirmam em relatório compartilhado com o The Hacker News que várias dessas empresas atuam no segmento de veículos aéreos não tripulados (UAV), indicando que a operação pode estar relacionada aos esforços recentes da Coreia do Norte para expandir seu programa de drones.
O principal objetivo da campanha é roubar informações proprietárias e conhecimento em manufatura, utilizando famílias de malware como ScoringMathTea e MISTPEN.
A empresa eslovaca de cibersegurança identificou o início das atividades da operação no final de março de 2025.
Entre as vítimas estão uma empresa de engenharia metalúrgica do Sudeste da Europa, um fabricante de componentes aeronáuticos e uma companhia de defesa, ambas localizadas na Europa Central.
O ScoringMathTea (também conhecido como ForestTiger) havia sido identificado pela ESET no início de 2023 em ataques contra uma empresa de tecnologia indiana e um contratante de defesa polonês.
Já o MISTPEN foi documentado pela Google Mandiant em setembro de 2024, em investidas contra organizações dos setores de energia e aeroespacial.
O primeiro registro do ScoringMathTea data de outubro de 2022.
A Operation Dream Job foi inicialmente revelada pela empresa israelense ClearSky em 2020.
Essa campanha persistente é conduzida pelo grupo de hackers norte-coreano conhecido como Lazarus Group, também rastreado pelos codinomes APT-Q-1, Black Artemis, Diamond Sleet (anteriormente Zinc), Hidden Cobra, TEMP.Hermit e UNC2970, ativo pelo menos desde 2009.
Os atacantes utilizam engenharia social por meio da técnica conhecida como Contagious Interview, que oferece falsas vagas de emprego para atrair alvos e induzi-los a executar malware em seus sistemas.
Além disso, a operação apresenta conexões com outros grupos rastreados como DeathNote, NukeSped, Operation In(ter)ception e Operation North Star.
Segundo os especialistas da ESET, o método predominante é "uma oferta de emprego atraente, porém falsa, embutida com malware": o alvo recebe um documento isca contendo a descrição do cargo e um leitor de PDF trojanizado para abrir o arquivo.
A cadeia do ataque culmina na execução de um binário que carrega uma DLL maliciosa responsável por instalar o ScoringMathTea, junto a um downloader sofisticado chamado BinMergeLoader.
Esse downloader atua de forma semelhante ao MISTPEN, utilizando Microsoft Graph API e tokens de autenticação para baixar cargas adicionais.
Outras variantes do ataque exploram um dropper ainda desconhecido para entregar cargas intermediárias, que culminam na ativação do ScoringMathTea — um malware do tipo RAT (Remote Access Trojan) avançado, capaz de executar cerca de 40 comandos para controlar completamente as máquinas comprometidas.
“Foram quase três anos em que o Lazarus manteve um modus operandi constante, empregando seu payload principal, ScoringMathTea, e utilizando métodos similares para trojanizar aplicativos open source”, destaca a ESET.
“Essa estratégia previsível, porém eficaz, oferece polimorfismo suficiente para escapar da detecção, embora não esconda a identidade do grupo nem impeça a atribuição.”
Se você achou esta reportagem relevante, siga-nos no Google News, Twitter e LinkedIn para acessar mais conteúdos exclusivos sobre cibersegurança e tecnologia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...