ESET heeft een nieuwe fase ontdekt in de cyberspionagecampagne Operation DreamJob, uitgevoerd door de aan Noord-Korea gelieerde Lazarus-groep. De campagne richt zich op Europese defensiebedrijven, waaronder organisaties die betrokken zijn bij de ontwikkeling van onbemande luchtvaartuigen (UAV’s).
Volgens ESET lijkt de aanval gericht op het verzamelen van technische ontwerpen en productiekennis. In maart werden drie defensiebedrijven getroffen, waarvan twee actief zijn in UAV-technologie: één produceert essentiële componenten, de ander ontwikkelt gerelateerde software.
De aanvallers gebruikten vertrouwde methodes uit eerdere Lazarus-campagnes. Slachtoffers ontvingen zogenaamd een vacature voor een leidinggevende functie, vergezeld van een geïnfecteerde PDF-lezer. Zodra het bestand werd geopend, installeerde de ScoringMathTea-malware zich op het systeem. Deze geavanceerde remote access trojan (RAT) kan meer dan veertig commando’s uitvoeren en wordt al sinds 2022 ingezet bij aanvallen op technologie- en defensiebedrijven in onder meer India, Polen en het Verenigd Koninkrijk.
Volgens ESET-onderzoeker Peter Kálnai wijzen de aanvallen op een gerichte zoektocht naar kennis over drones die momenteel in Oekraïne worden ingezet. Dat sluit aan bij Noord-Korea’s toegenomen aandacht voor eigen dronecapaciteiten.
Dronesector als strategisch doelwit
De Europese UAV-industrie ontwikkelt zich snel en krijgt volop steun van overheden en investeerders. Bedrijven werken samen met Oekraïense fabrikanten aan geavanceerde platformen, besturingssoftware en componenten. Die kennis en samenwerking maken de sector echter ook kwetsbaar voor cyberspionage.
Het ESET-onderzoek laat zien dat Lazarus expliciet jaagt op technische knowhow en intellectueel eigendom binnen de UAV-sector. Dat onderstreept het belang van beveiligingsmaatregelen die verder gaan dan traditionele netwerkbeveiliging, met aandacht voor identity protection en strikte segmentatie van ontwikkelomgevingen.
De inzet van drones in Oekraïne en de aanwezigheid van Noord-Koreaanse militairen aan Russische zijde voeden het vermoeden dat Lazarus via deze aanvallen inzicht probeert te krijgen in Westerse wapensystemen. Noord-Korea staat erom bekend militaire technologie te ontwikkelen via reverse engineering en diefstal van intellectueel eigendom, een patroon dat hier opnieuw zichtbaar wordt.
Aanpak en herkenning
Lazarus gebruikt open-sourceprojecten op GitHub om malware te verbergen en detectie te ontwijken. De groep staat sinds 2009 bekend als een van de actiefste APT’s ter wereld, verantwoordelijk voor campagnes die variëren van cyberspionage tot financieel gemotiveerde aanvallen.
Operation DreamJob is een van die campagnes, waarbij vooral medewerkers in de luchtvaart-, defensie- en technologiesector worden benaderd met nepvacatures voor leidinggevende functies. De aanpak is telkens vergelijkbaar: zorgvuldig opgebouwde social-engineeringaanvallen die uitmonden in langdurige infiltratie van bedrijfsnetwerken.
