O grupo APT (Ameaça Persistente Avançada) Lazarus, alinhado com a Coreia do Norte, foi observado a conduzir uma campanha de ciberespionagem direcionada contra a indústria de defesa europeia. Os alvos principais são empresas envolvidas no desenvolvimento e fabrico de veículos aéreos não tripulados (UAVs), vulgarmente conhecidos como drones.
A análise, conduzida por investigadores da ESET, identifica esta atividade como uma nova vaga da ‘Operation DreamJob’. O objetivo principal suspeito é a exfiltração de propriedade intelectual e know-how de fabrico, num esforço aparente de Pyongyang para acelerar o seu próprio programa de drones.
O vetor de ataque: engenharia social e código-aberto
O modus operandi da ‘Operation DreamJob’ mantém-se consistente na sua fase inicial: engenharia social. Os atacantes usam o engodo de ofertas de emprego lucrativas, mas falsas, para obter o acesso inicial.
Segundo o relatório da ESET, o alvo recebe tipicamente um documento que simula uma descrição de funções, acompanhado por um leitor de PDF legítimo, mas trojanizado. A ESET atribui esta campanha ao Lazarus com um elevado nível de confiança, citando a sobreposição de TTPs, os setores-alvo (aeroespacial e defesa) e o malware utilizado.
O objetivo: know-how militar e geopolítico
O foco nos UAVs é estratégico. A ESET sugere que o interesse de Pyongyang reflete os seus investimentos internos documentados para expandir as suas capacidades de fabrico de drones, um setor onde a Coreia do Norte tem dependido historicamente de engenharia reversa e roubo de propriedade intelectual.
O contexto geopolítico adensa a análise. Os investigadores notam que as três organizações visadas (localizadas na Europa Central e do Sudeste) produzem equipamento militar. Parte deste material está a ser utilizado na Ucrânia. A ESET levanta a hipótese de o Lazarus estar interessado em recolher informações sensíveis sobre estes sistemas de armas, dado o alegado destacamento de soldados norte-coreanos na Rússia.
Alexis Rapin, analista da ESET, reforça esta ligação, afirmando que uma das entidades alvo produz modelos de UAVs “que a Coreia do Norte pode ter encontrado na linha da frente” e que também está envolvida na cadeia de abastecimento de drones que Pyongyang “está a desenvolver ativamente”.
A análise da ‘payload’: o RAT ScoringMathTea
A payload (carga maliciosa) principal implantada nos alvos é um Trojan de Acesso Remoto (RAT) complexo, batizado pela ESET como ‘ScoringMathTea’. Este malware oferece aos atacantes controlo total sobre a máquina comprometida.
O ‘ScoringMathTea’ não é novo; foi observado pela primeira vez em 2022, em ataques que usavam a Airbus como engodo. As suas capacidades incluem a manipulação de ficheiros e processos, recolha de dados do sistema e comunicação com o servidor de Comando e Controlo (C&C) para exfiltrar dados ou descarregar novas payloads.
A estratégia de evasão
Para proteger a sua payload principal e dificultar a deteção, o Lazarus usa uma cadeia de execução complexa (droppers, loaders e downloaders). A evolução mais significativa, segundo a ESET, é a tática de incorporar as rotinas de carregamento maliciosas em projetos de código aberto legítimos, disponíveis no GitHub, que são subsequentemente trojanizados.
Peter Kálnai, o investigador da ESET que analisou os ataques, conclui que esta estratégia “previsível, mas eficaz, proporciona polimorfismo suficiente para evadir a deteção”, embora a consistência do modus operandi continue a permitir a atribuição ao grupo.
Conclusão
A nova campanha ‘Operation DreamJob’ demonstra a adaptação contínua do Lazarus. O grupo aplica TTPs testados (engenharia social) a alvos de elevado valor estratégico (defesa e UAVs), utilizando táticas de evasão modernas (trojanização de código-aberto) para cumprir objetivos de estado: a ciberespionagem industrial como um acelerador direto de capacidades militares.
Outros artigos interessantes:
