A indústria europeia foi um dos alvos mais visados em 2025. Segundo investigadores da ESET observaram recentemente um novo caso da Operação DreamJob, uma campanha que a ESET acompanha sob a égide do grupo Lazarus, alinhado com a Coreia do Norte, e na qual várias empresas europeias ativas na indústria de defesa foram alvo.
Aliás, algumas das quais fortemente envolvidas no setor de veículos aéreos não tripulados (UAV/drones). Desse modo, sugerindo que a operação pode estar ligada aos esforços atuais da Coreia do Norte para ampliar o seu programa de drones.
Indústria europeia na mira do cibercrime norte-coreano
Primeiramente, os ataques em ambiente real visaram sucessivamente três empresas ativas no setor de defesa na Europa Central e Sudeste. Ora, em primeiro lugar, o acesso inicial foi quase certamente obtido por meio de engenharia social.
Seguidamente, a principal payload implantada nos alvos foi o ScoringMathTea. Ou seja, um trojan de acesso remoto (RAT) que oferece aos invasores controlo total sobre a máquina comprometida. Em suma, o objetivo principal suspeito dos invasores era a exfiltração de informações proprietárias e know-how de fabricação.
Engenharia social visando a indústria europeia
Em primeiro lugar, na Operação DreamJob, o tema dominante da engenharia social é uma oferta de emprego lucrativa, mas falsa, acompanhada de malware. Mais concretamente, o o alvo geralmente recebe um documento falso com uma descrição do cargo e um leitor de PDF com trojan para abri-lo.
A ESET Research atribui essa atividade com alto nível de confiança ao Lazarus. Isto principalmente por causa de suas campanhas relacionadas à Operação DreamJob e porque os setores visados, localizados na Europa, se alinham com os alvos das instâncias anteriores da Operação DreamJob (aeroespacial, defesa, engenharia).
Três organizações europeias visadas
As três organizações visadas fabricam diferentes tipos de equipamento militar (ou peças para o mesmo). Aliás, muitos dos quais estão atualmente a ser utilizados na Ucrânia, em resultado da assistência militar prestada pelos países europeus.
Na altura em que a Operação DreamJob foi observada, soldados norte- coreanos estavam destacados na Rússia. Aliás, alegadamente para ajudar Moscovo a repelir a ofensiva ucraniana na região de Kursk. É, portanto, possível que a Operação DreamJob estivesse interessada em recolher informações sensíveis sobre alguns sistemas de armas de fabrico ocidental atualmente utilizados na guerra entre a Rússia e a Ucrânia.
Interesse no know- how europeu
Com efeito, e de um modo mais geral, estas entidades estão envolvidas na produção de tipos de material que a Coreia do Norte também fabrica internamente. Aliás, e para os quais poderá estar a tentar aperfeiçoar os seus próprios projetos e processos.
O interesse no know- how relacionado com os UAV é notável, uma vez que ecoa relatos recentes da comunicação social que indicam que Pyongyang está a investir fortemente nas capacidades de fabrico de drones a nível interno.
Com efeito, a Coreia do Norte tem dependido fortemente da engenharia reversa e do roubo de propriedade intelectual. Isto, note-se, para desenvolver as suas capacidades internas em matéria de UAV.
Lazarus e os seus backdoors
Geralmente, os atacantes Lazarus são altamente ativos e implantam os seus backdoors contra vários alvos. Esse uso frequente expõe essas ferramentas e permite a sua deteção. Porém, como contramedida, as ferramentas do grupo são precedidas na cadeia de execução por uma série de droppers, loaders e downloaders simples. Por fim, os atacantes decidiram incorporar as suas rotinas de carregamento maliciosas em projetos de código aberto disponíveis no GitHub.
A payload principal, ScoringMathTea, é um RAT complexo que suporta cerca de 40 comandos. A sua primeira aparição remonta a envios ao VirusTotal provenientes de Portugal e da Alemanha em outubro de 2022. Aqui onde o seu dropper se fazia passar por uma oferta de emprego com o tema Airbus.
A funcionalidade implementada é a habitual exigida pelo Lazarus. Ou seja, a manipulação de ficheiros e processos, troca da configuração, recolha de informações do sistema da vítima, abertura de uma ligação TCP e execução de comandos locais ou novas payloads descarregadas do servidor C&C.
Ataques além da indústria europeia
Em relação à telemetria da ESET, o ScoringMathTea foi visto em ataques contra uma empresa de tecnologia indiana em janeiro de 2023, uma empresa de defesa polaca em março de 2023, uma empresa britânica de automação industrial em outubro de 2023 e uma empresa aeroespacial italiana em setembro de 2025. Parece ser uma das payloads úteis emblemáticas das campanhas da Operação DreamJob.
A evolução mais significativa do grupo é a introdução de novas bibliotecas projetadas para proxy DLL e a seleção de novos projetos de código aberto para trojanizar, a fim de melhorar a evasão. «Durante quase três anos, o Lazarus manteve um modus operandi consistente, implementando a sua payload principal preferida, ScoringMathTea, e utilizando métodos semelhantes para trojanizar aplicações de código aberto. Esta estratégia previsível, mas eficaz, proporciona polimorfismo suficiente para evadir a deteção de segurança, mesmo que seja insuficiente para mascarar a identidade do grupo e obscurecer o processo de atribuição», conclui Kálnai.
O grupo Lazarus
O grupo Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT ligado à Coreia do Norte que está ativo desde pelo menos 2009. É responsável por incidentes de grande repercussão. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo, bem como o facto de ele realizar os três pilares das atividades cibercriminosas: ciberespionagem, ciber-sabotagem e busca de ganhos financeiros.
A Operação DreamJob é o nome de código das campanhas Lazarus que se baseiam principalmente em engenharia social, especificamente usando ofertas de emprego falsas para cargos de prestígio ou de alto nível (o engodo do «emprego dos sonhos»). Os alvos são predominantemente nos setores aeroespacial e de defesa, seguidos por empresas de engenharia e tecnologia e pelo setor de mídia e entretenimento.
Fica mais conectado: