Pesquisadores de segurança da ESET identificaram os responsáveis por uma série de ataques a empresas europeias do setor de defesa, uma extensa campanha de hacking conhecida como “Operação Dream Job”. Muitas das companhias atingidas estão envolvidas na produção de Veículos Aéreos Não Tripulados (VANTs), ou drones.
Os especialistas da ESET Peter Kálnai e Alexis Rapin, envolvidos na pesquisa, sugerem que os ataques indicam um esforço da Coreia do Norte para aprimorar seu próprio programa de drones. O objetivo principal da campanha é o furto de informações proprietárias e dados de fabricação dos equipamentos, utilizando malwares como o ScoringMathTea e o MISTPEN.
Hackers Norte-Coreanos e Espionagem Industrial
De acordo com a ESET, a atividade criminosa tem sido rastreada desde março deste ano. As vítimas incluem empresas do sudeste europeu, além de uma fábrica de componentes aéreos e uma companhia de defesa da Europa Central. O malware ScoringMathTea, também conhecido como ForestTiger, já havia sido detectado pela ESET no início de 2023 em ciberataques contra uma empresa de tecnologia indiana e uma polonesa do setor de defesa.
Já o MISTPEN foi monitorado pela Google Mandiant em setembro de 2024, atuando em campanhas nos setores aeroespacial e de energia. A Operação Dream Job foi inicialmente descoberta pela empresa ClearSky em 2020 e é atribuída ao grupo hacker norte-coreano Lazarus Group, conhecido por várias denominações, incluindo APT-Q-1, Black Artemis, Diamond Sleet (Zinc), Hidden Cobra, TEMP.Hermit e UNC2970.
Ativo desde, no mínimo, 2009, o Lazarus Group está utilizando a engenharia social como isca no esforço atual. Semelhante à campanha Contagious, o grupo oferece falsas propostas de emprego altamente lucrativas que, na verdade, servem para instalar malwares nos sistemas das vítimas.
O processo de infecção envolve o uso de arquivos binários que descarregam uma DLL maliciosa. Esta DLL, por sua vez, instala o ScoringMathTea e o downloader BinMergeLoader, que utiliza a Microsoft Graph API e tokens para baixar outros arquivos maliciosos. As fases posteriores do ataque incluem o uso de RATs (Ferramentas de Acesso Remoto) avançadas, capazes de executar até 40 comandos para obter controle total da máquina invadida.