Empresas de defesa na Europa foram alvo de uma nova série de ataques cibernéticos atribuídos a agentes ligados à Coreia do Norte, informou a ESET. A campanha, identificada como Operation Dream Job, teve início no fim de março de 2025 e usa ofertas de emprego falsas para infectar computadores de engenheiros e obter informações sigilosas sobre drones.
Segundo os pesquisadores Peter Kálnai e Alexis Rapin, algumas das organizações visadas atuam diretamente no setor de veículos aéreos não tripulados (UAV), o que sugere interesse de Pyongyang em ampliar suas capacidades nessa área. Entre os alvos confirmados estão:
- uma empresa de engenharia metálica no sudeste da Europa;
- um fabricante de componentes aeronáuticos na Europa Central;
- uma companhia de defesa também na Europa Central.
Como funciona o golpe
Os invasores abordam profissionais com propostas de trabalho atraentes. A vítima recebe um documento descritivo da vaga e um software supostamente necessário para abrir o arquivo; esse programa, na verdade, é uma versão adulterada de um leitor de PDF que instala malware.
A cadeia de infecção começa com a execução de um binário que faz sideload de uma DLL maliciosa. Essa DLL implanta o ScoringMathTea — conhecido também como ForestTiger — e aciona um downloader avançado, batizado de BinMergeLoader, que utiliza a API Microsoft Graph para buscar cargas adicionais. Em alguns casos, os pesquisadores observaram um dropper desconhecido que entrega dois estágios intermediários antes de liberar o ScoringMathTea.
Ferramentas e histórico
O ScoringMathTea é um RAT (trojan de acesso remoto) capaz de executar cerca de 40 comandos, permitindo controle total da máquina comprometida. A ESET já havia detectado esse malware em 2023, em ataques contra uma empresa de tecnologia na Índia e uma contratada de defesa na Polônia; sua primeira aparição remonta a outubro de 2022.
Outro malware usado no esquema é o MISTPEN, descrito pela Google Mandiant em setembro de 2024 durante invasões a companhias dos setores de energia e aeroespacial. Ambos os códigos maliciosos são fundamentais para extrair propriedade intelectual e conhecimentos de fabricação.
Imagem: Internet
Grupo Lazarus mantém método recorrente
A Operation Dream Job foi revelada em 2020 pela ClearSky e é atribuída ao Lazarus Group, também chamado de APT-Q-1, Black Artemis, Diamond Sleet, Hidden Cobra, TEMP.Hermit ou UNC2970. Ativo pelo menos desde 2009, o coletivo norte-coreano vem repetindo o mesmo padrão há quase três anos: distribuir o ScoringMathTea por meio de aplicativos de código aberto adulterados e variar ligeiramente o código para escapar de detecções, ainda que sem disfarçar sua autoria.
Até o momento, não há relato público sobre compromissos bem-sucedidos ou vazamento de dados provenientes desses ataques.
Com informações de The Hacker News