El grupo de élite de Corea del Norte reactiva su “Operación DreamJob” apuntando específicamente a ingenieros aeroespaciales, utilizando malware sofisticado escondido en software de código abierto.
La guerra moderna se libra con drones, y Corea del Norte no quiere quedarse atrás en la carrera tecnológica. Hoy 26 de enero de 2026, una campaña activa y altamente dirigida del infame Grupo Lazarus (Hidden Cobra) contra fabricantes de vehículos aéreos no tripulados (UAV) en Europa Central y del Este.
El objetivo es claro: robar propiedad intelectual crítica para replicar y masificar drones de combate y reconocimiento similares a los modelos occidentales (como el MQ-9 Reaper o el RQ-4 Global Hawk).
El Gancho: Ofertas de Trabajo Irresistibles
Lazarus continúa perfeccionando su táctica favorita: la ingeniería social laboral (“Operation DreamJob”).
- El Método: Los atacantes contactan a ingenieros y expertos en defensa a través de LinkedIn y otras plataformas profesionales, haciéndose pasar por reclutadores de empresas prestigiosas (a menudo del sector aeroespacial estadounidense o europeo).
- La Trampa: Tras ganarse la confianza de la víctima, envían una supuesta “prueba de codificación” o una descripción del puesto en formato PDF/ZIP.
- El Objetivo: Al menos tres empresas europeas importantes, que fabrican componentes críticos para drones utilizados actualmente en zonas de conflicto, han sido confirmadas como víctimas.
Arsenal Técnico: “ScoringMathTea” y DLL Side-Loading
Lo que distingue a esta campaña es la sofisticación del malware desplegado una vez que el ingeniero muerde el anzuelo.
- DLL Side-Loading: Los atacantes utilizan versiones troyanizadas de software legítimo y de código abierto, como TightVNC Viewer, MuPDF y plugins de WinMerge. Al ejecutar estas herramientas, el sistema carga una biblioteca DLL maliciosa (con nombres reveladores como DroneEXEHijackingLoader.dll) en lugar de la legítima.
- El Loader: Utilizan un cargador intermedio llamado BinMergeLoader.
- La Carga Final (RAT): El objetivo final es desplegar ScoringMathTea, un Troyano de Acceso Remoto avanzado.
- Capacidades: Permite ejecutar 40 comandos diferentes, incluyendo exfiltración de archivos y despliegue de cargas adicionales.
- Evasión: Este malware es particularmente difícil de detectar porque permanece cifrado en el disco y solo se descifra en la memoria RAM durante su ejecución, lo que lo hace invisible para muchos antivirus tradicionales basados en firmas de archivos.
Contexto Geopolítico
Este ciberespionaje no es aleatorio. Coincide con la reciente presentación pública de nuevos modelos de drones de combate por parte de Pyongyang y su creciente cooperación militar con Rusia. El robo de planos y datos de telemetría de empresas europeas permite al régimen norcoreano saltarse años de investigación y desarrollo (I+D), ahorrando millones de dólares y acelerando su capacidad de despliegue militar.
Recomendaciones
- Verificación de Reclutadores: Instruir a los empleados para que verifiquen rigurosamente cualquier oferta de trabajo no solicitada, contactando directamente a la empresa supuestamente contratante a través de sus canales oficiales.
- Aislamiento de Entornos: Las pruebas de código o archivos recibidos de fuentes externas nunca deben ejecutarse en la red corporativa principal. Utilice máquinas virtuales aisladas (Sandboxes) sin acceso a datos sensibles.
- Monitoreo de Comportamiento: Dado que ScoringMathTea opera en memoria, las soluciones EDR deben estar configuradas para detectar inyecciones de procesos y comportamientos anómalos, no solo archivos estáticos.
