ESET-onderzoekers hebben een nieuwe golf van de cyberspionagecampagne Operation DreamJob ontdekt. Deze campagne, uitgevoerd door de aan Noord-Korea gelieerde Lazarus-groep, richt zich op Europese bedrijven in de defensie-industrie. Sommige van de getroffen organisaties zijn betrokken bij de ontwikkeling van drones.
In maart 2025 signaleerde ESET aanvallen op drie defensiebedrijven in Centraal- en Zuidoost-Europa. Twee van hen zijn actief in UAV-technologie (Unmanned Aerial Vehicle): één produceert essentiële dronecomponenten, de ander ontwikkelt gerelateerde software. Het vermoedelijke doel van de aanvallen lijkt vooral het verzamelen van vertrouwelijke ontwerpen en technische kennis voor productie.
Social engineering als toegangspoort
De aanvallers gebruikten bekende methodes uit eerdere Lazarus-campagnes. Zo werd toegang verkregen via social engineering: slachtoffers ontvingen een valse vacature, zogenaamd voor een topfunctie, in combinatie met een geïnfecteerde PDF-lezer. Zodra het misleidende document werd geopend, installeerde zich de kwaadaardige ScoringMathTea-malware.
“We hebben sterke aanwijzingen dat Lazarus met deze campagne specifiek uit was op kennis rond drones,” aldus Peter Kálnai, ESET-onderzoeker.
“Bij één van de doelwitten troffen we aanwijzingen voor betrokkenheid bij UAV-modellen die momenteel in Oekraïne worden ingezet. Dit sluit aan bij Pyongyangs toenemende focus op binnenlandse dronecapaciteiten.”
> LEES OOK: Chinese cyberspionage in Nederland veel groter dan gedacht
Aandacht voor inzet aan het front
De inzet van drones in Oekraïne, gecombineerd met de aanwezigheid van Noord-Koreaanse militairen aan Russische zijde, versterkt het vermoeden dat Lazarus gericht informatie wil vergaren over Westerse wapensystemen aan het front. Noord-Korea staat erom bekend militaire technologie te ontwikkelen via reverse engineering en diefstal van intellectueel eigendom, een patroon dat nu opnieuw zichtbaar wordt.
ScoringMathTea
De centrale payload in deze campagne is ScoringMathTea, een geavanceerde remote access trojan (RAT) met meer dan 40 commando’s. Sinds de eerste waarneming in oktober 2022 is de malware herhaaldelijk ingezet bij aanvallen op technologie- en defensiebedrijven in India, Polen, het Verenigd Koninkrijk en Italië.
Lazarus verpakt de malware in ogenschijnlijk legitieme open-sourceprojecten op GitHub, om zo beveiligingsoplossingen te omzeilen en detectie te voorkomen.
Bron: ESET
Volg Security Management op LinkedIn
