El grupo de hacking norcoreano Lazarus, conocido por su agresividad y sofisticación, ha llevado a cabo una campaña dirigida a al menos tres compañías europeas del sector defensa, enfocadas en el desarrollo de tecnología para vehículos aéreos no tripulados (UAVs) o drones. La operación, identificada como parte de la estrategia “Operation DreamJob”, utiliza ofertas falsas de empleo como gancho para el espionaje tecnológico.
Operación DreamJob: Espionaje Tecnológico
La campaña, detectada a finales de marzo de 2025, es una clara señal de que Lazarus está priorizando el robo de tecnología militar avanzada.
Mecanismo de Infiltración
- Ingeniería Social: Los atacantes se hacen pasar por “reclutadores” o consultoras de empleo de alto perfil y contactan a personas que trabajan o han trabajado en la industria aeroespacial o de defensa.
- Malware troyanizado: El usuario es inducido a descargar y ejecutar un software aparentemente legítimo (visores de PDF, complementos o herramientas de código abierto) que está troyanizado con código malicioso.
- Descarga lateral de DLL: Una técnica clave observada es la descarga lateral de DLL, donde el malware se introduce a través de un componente legítimo vulnerable que carga una DLL maliciosa.
- RAT Final: Una de las cargas finales detectadas es el RAT denominado ScoringMathTea, que otorga al atacante acceso remoto completo al sistema para ejecución de comandos, descarga de archivos y exfiltración.
Implicaciones estratégicas
- Objetivo Geopolítico: El enfoque en el sector de defensa/drones, con al menos una víctima vinculada al desarrollo de UAVs en uso en Ucrania, sugiere que el objetivo es la transferencia de conocimiento de alto valor para mejorar las capacidades militares de Corea del Norte o comprender el diseño occidental de drones.
- Evasión de Firmas: El atacante reutiliza software legítimo troyanizado y herramientas de código abierto para camuflar sus actividades maliciosas, lo que complica la detección mediante firmas tradicionales.
- Ataque al Personal: Las campañas de “oferta de empleo” permiten al adversario acercarse a personas que quizás no están protegidas como el personal de TI, reduciendo las barreras de entrada.
Recomendaciones
- Formación y Concientización
- Simulacros de Phishing: Implementar formación específica sobre Spear phishing que utiliza escenarios de “oferta de empleo” o “pruebas técnicas”.
- Verificación Externa: Crear protocolos estrictos para que los empleados verifiquen la legitimidad de cualquier oferta de trabajo externa a través de canales oficiales o RR. HH., nunca por el enlace directo enviado por el supuesto reclutador.
- Control de Endpoints y Sideloading
- Aislamiento y Sandboxing : Utilizar ambientes aislados o sandboxes para la prueba de cualquier código o software descargado para procesos de reclutamiento o evaluaciones técnicas.
- Restricción de Ejecución: Limitar y monitorear la capacidad de ejecución de herramientas no autorizadas en estaciones de trabajo vinculadas a desarrollo, producción o diseño militar.
- Alertas de Sideloading: Configurar alertas en el EDR para eventos de DLL sideloading, especialmente desde herramientas de código abierto o visores que cargan librerías externas.
- Seguridad de Infraestructura
- Segmentación: Segmentar las redes de desarrollo/prototipado de drones o defensa del resto de la red corporativa para reducir el impacto de un posible compromiso.
- Auditoría de Acceso Remoto: Revisar entidades de acceso remoto instaladas en estaciones de trabajo de ingeniería y diseño (buscar RATs, procesos desconocidos, conexiones persistentes como ScoringMathTea).
- Registros de RR. HH.: Auditar los registros de reclutamiento para detectar accesos inesperados a sistemas de pruebas o software enviados a empleados.
