ESET ha individuato una nuova ondata della campagna Operation DreamJob, riconducibile al gruppo nordcoreano Lazarus, che ha colpito aziende europee del comparto difesa, tra cui una realtà italiana, alcune delle quali fortemente coinvolte nello sviluppo di veicoli aerei senza pilota (UAV)
Researchers of ESET, leader globale nel mercato della cybersecurity, hanno recentemente osservato una nuova attività riconducibile a Operation DreamJob, una campagna del gruppo Lazarus allineato alla Corea del Nord. Diversi attacchi hanno preso di mira aziende del settore della difesa in Europa centrale e sud-orientale, alcune delle quali impegnate nella produzione di droni, suggerendo un possibile legame con i recenti sforzi di Pyongyang per potenziare il proprio programma di sviluppo di droni.
Gli attacchi rilevati sul campo hanno colpito in successione tre aziende del comparto della difesa. L’accesso iniziale è stato quasi certamente ottenuto tramite tecniche di social engineering, sfruttando progetti open source presenti su GitHub e introducendo nei sistemi delle vittime ScoringMathTea, una backdoor di tipo Remote Access Trojan (RAT) che consente il pieno controllo dei dispositivi compromessi. L’obiettivo principale era presumibilmente l’esfiltrazione di informazioni sensibili e know-how tecnico.
Nel contesto di Operation DreamJob, la tattica di social engineering ruota intorno a offerte di lavoro allettanti ma false, accompagnate da documenti esca e da lettori PDF compromessi. ESET attribuisce con un elevato grado di certezza l’attività al gruppo Lazarus, sia per la tipologia delle vittime — in linea con gli obiettivi delle precedenti campagne (aerospazio, difesa, ingegneria) — sia per le modalità operative già osservate.
Le tre organizzazioni coinvolte producono diversi tipi di equipaggiamenti militari, molti dei quali attualmente impiegati in Ucraina nell’ambito dell’assistenza militare europea. Nel periodo di osservazione delle attività di Operation DreamJob, militari nordcoreani risultavano schierati in Russia, con il compito di supportare Mosca nel fronte di Kursk. È dunque plausibile che l’operazione avesse lo scopo di raccogliere informazioni su sistemi d’arma occidentali utilizzati nel conflitto russo-ucraino. In generale, le aziende colpite sviluppano equipaggiamenti militari analoghi a quelli realizzati in Corea del Nord, che potrebbe mirare a perfezionare i propri progetti e processi produttivi acquisendo informazioni tecniche riservate. L’interesse verso il settore dei droni è particolarmente significativo: recenti notizie indicano che Pyongyang sta investendo fortemente nella produzione domestica di UAV, spesso basata su attività di reverse engineering e furto di proprietà intellettuale.
“Riteniamo probabile che Operation DreamJob fosse almeno in parte mirata al furto di informazioni proprietarie e know-how produttivo relativi ai droni. Un riferimento esplicito ai droni individuato in uno dei dropper rafforza ulteriormente questa ipotesi”, spiega Peter Kálnai, ricercatore di ESET che ha scoperto e analizzato gli attacchi. “Abbiamo raccolto prove che una delle aziende colpite è coinvolta nella produzione di almeno due modelli UAV impiegati in Ucraina, e nella supply chain di droni monorotore avanzati, tipologia su cui la Corea del Nord sta lavorando attivamente”, aggiunge Alexis Rapin, ESET cyberthreat analyst.
Il gruppo Lazarus è noto per la sua attività intensa e per l’impiego di più backdoor contro obiettivi differenti. Per evitare il rilevamento, le sue campagne prevedono l’uso di droppers, loaders e semplici downloaders che precedono l’esecuzione del payload principale. In questo caso, gli attaccanti hanno integrato le routine malevole in progetti open source presenti su GitHub.
Il payload principale, ScoringMathTea, è una RAT complessa che supporta circa 40 comandi. È stata individuata per la prima volta su VirusTotal in campioni provenienti da Portogallo e Germania nell’ottobre 2022, dove un dropper si presentava come un’esca a tema Airbus. Le sue funzionalità comprendono manipolazione di file e processi, raccolta di informazioni di sistema, apertura di connessioni TCP e download di nuovi payload da server di comando e controllo (C&C).
Secondo la telemetria di ESET, ScoringMathTea è stata osservata in attacchi contro un’azienda tecnologica indiana (gennaio 2023), una società di difesa polacca (marzo 2023), un’azienda britannica di automazione industriale (ottobre 2023) e un’azienda aerospaziale italiana (settembre 2025). Si tratta quindi di uno dei payload principali utilizzati nelle campagne Operation DreamJob.
L’evoluzione più rilevante di Lazarus riguarda l’introduzione di nuove librerie per il DLL proxying e la scelta di nuovi progetti open source da compromettere con codice malevolo per migliorare le capacità di elusione.
“Negli ultimi tre anni, Lazarus ha mantenuto un modus operandi coerente, distribuendo il suo payload principale ScoringMathTea e adottando metodi simili per trojanizzare applicazioni open source. Questa strategia, prevedibile ma efficace, garantisce un sufficiente livello di polimorfismo per sfuggire ai sistemi di rilevamento, anche se non è sufficiente a nascondere del tutto l’identità del gruppo e a rendere più complessa l’attribuzione”, conclude Kálnai.
Il gruppo Lazarus (conosciuto anche come HIDDEN COBRA) è un gruppo APT legato alla Corea del Nord attivo almeno dal 2009, responsabile di numerosi incidenti di alto profilo. È caratterizzato da una notevole varietà di campagne e da un approccio eterogeneo che copre i tre principali ambiti della criminalità informatica: spionaggio, sabotaggio e attività a fini economici.
Operation DreamJob è il nome in codice utilizzato per identificare le campagne di Lazarus basate principalmente su social engineering con offerte di lavoro false, spesso per posizioni di alto profilo. I target principali appartengono ai settori aerospaziale e della difesa, seguiti da quelli dell’ingegneria, della tecnologia e dei media.
