Een nieuwe golf van Operation DreamJob, een langdurige hackingcampagne die gelinkt is aan de Noord-Koreaanse Lazarus Group, richt zich volgens onderzoekers van het cybersecuritybedrijf ESET op Europese defensiebedrijven, met name ondernemingen betrokken bij de ontwikkeling van drones en onbemande vliegtuigen (UAV’s).
De Lazarus‑groep, berucht om grootschalige aanvallen, lokt medewerkers met valse vacatures waarna ze bestanden downloaden die vermomd zijn als PDF readers of remote‑access tools. Bij uitvoering installeren deze bestanden een remote‑access trojan (RAT) genaamd ScoringMathTea, waarmee de aanvallers controle krijgen over de geïnfecteerde systemen.
ESET stelt dat de campagne waarschijnlijk verband houdt met Noord-Korea’s inspanningen om zijn droneprogramma uit te breiden, en dat één van de aangevallen bedrijven UAV‑modellen produceert die momenteel in Oekraïne worden ingezet. De aanvallers hebben zelfs het sleutelwoord “drone” in hun payload achtergelaten, wat hun focus op technologie voor onbemande luchtvaartuigen bevestigt.
De drie getroffen defensiebedrijven, gelegen in Centraal‑ en Zuidoost‑Europa, blijven anoniem. ESET merkt op dat hun producten deel uitmaken van de Europese militaire toeleveringsketen, inclusief apparatuur die in Oekraïne wordt ingezet.
“Deze social engineering‑techniek is al jaren effectief en toont aan dat veel medewerkers nog onvoldoende bewustzijn hebben van deze tactiek,” aldus ESET.
Analisten zijn van mening dat Lazarus erop uit is eigendomsecht defensietechnologie en fabricagegegevens te stelen waarmee Pjöngjang Westerse wapensystemen zou kunnen nabootsen die op het slagveld worden gezien.
Operation DreamJob is actief sinds minstens 2009 en richt zich op sectoren als defensie, lucht‑/ruimtevaart, financiën en IT, en blijft een belangrijk middel in Noord-Korea’s cyber‑spionageprogramma.
Eerder hebben we gemeld dat Noord-Koreaanse hackers actief solliciteren naar banen in Europa, in een poging lokale bedrijven te infiltreren en tegelijkertijd geld te verdienen dat vervolgens met de staat wordt gedeeld. Daarnaast voeren ze een zeer impactvolle cryptojacking-operatie uit, die in 2025 recordhoogtes heeft bereikt.
