Defesa

Pesquisadores da ESET identificaram uma série de ataques cibernéticos, conhecidos como Operação Dream Job, realizados por hackers norte-coreanos, que visam empresas do setor de defesa na Europa, especialmente aquelas envolvidas com drones. Desde março de 2025, o grupo Lazarus, responsável por esses ataques, utiliza táticas de engenharia social, oferecendo falsas oportunidades de emprego que, na verdade, instalam malwares como ScoringMathTea e MISTPEN nos sistemas das vítimas. Esses malwares são projetados para roubar informações sensíveis e podem executar comandos que permitem o controle total das máquinas comprometidas. A ESET já havia observado o ScoringMathTea em ataques anteriores a empresas de tecnologia na Índia e na Polônia. A MISTPEN também foi associada a campanhas em setores críticos como aeroespacial e energia. A descoberta desses ataques ressalta a crescente preocupação com a segurança cibernética em indústrias estratégicas e a necessidade de vigilância constante contra ameaças emergentes.

Um novo ciclo de ataques cibernéticos, atribuído a atores de ameaças ligados à Coreia do Norte, está visando empresas europeias do setor de defesa, conforme relatado pela ESET. Esta campanha, conhecida como Operação Dream Job, tem como alvo empresas envolvidas na fabricação de veículos aéreos não tripulados (UAVs), sugerindo uma conexão com os esforços da Coreia do Norte para expandir seu programa de drones. Os ataques utilizam malwares como ScoringMathTea e MISTPEN para roubar informações proprietárias e know-how de fabricação. A ESET observou o início desta campanha em março de 2025, com alvos que incluem uma empresa de engenharia metalúrgica e um fabricante de componentes aeronáuticos na Europa Central e Sudeste. A Operação Dream Job, exposta pela ClearSky em 2020, é conduzida pelo grupo de hackers Lazarus, que utiliza engenharia social para atrair vítimas com ofertas de emprego falsas, levando à infecção de sistemas com malware. A estratégia do grupo é caracterizada por um padrão previsível, mas eficaz, que permite a evasão de detecções de segurança, embora não esconda sua identidade.

Com a aceleração da transformação digital, o tráfego de bots representa mais da metade do tráfego na internet, com bots maliciosos sendo responsáveis pela maioria das ameaças. Esses ataques automatizados se tornaram uma das maiores ameaças para empresas online, pois os bots evoluíram para imitar o comportamento humano e se adaptar a medidas de segurança. As defesas tradicionais, como firewalls de aplicações web (WAFs) e detecções baseadas em JavaScript, são reativas e dependem de padrões conhecidos, tornando-se ineficazes contra bots modernos que mudam rapidamente. Além disso, as defesas do lado do cliente introduzem riscos adicionais, pois o código pode ser manipulado por atacantes. O artigo destaca que a detecção do lado do servidor, que analisa o comportamento e a intenção do tráfego, é a única estratégia eficaz para enfrentar essas novas ameaças. Essa abordagem permite que as empresas detectem bots que se disfarçam como usuários legítimos, aumentando a eficácia da segurança em até 33 vezes. A evolução dos bots exige uma defesa igualmente inteligente, pois os danos vão além das perdas financeiras, afetando a integridade dos dados e a competitividade das empresas.

Desde o início de 2025, pesquisadores da Check Point identificaram um aumento nas atividades de espionagem cibernética do grupo Nimbus Manticore, que utiliza portais de recrutamento falsos para disseminar malware sofisticado. Inicialmente focado em alvos do setor aeroespacial e de defesa no Oriente Médio, o grupo agora se expande para a Europa Ocidental, mirando empresas de defesa, telecomunicações e aeroespaciais em países como Dinamarca, Suécia e Portugal.

O malware principal, conhecido como MiniJunk, evoluiu para uma variante avançada que utiliza técnicas inovadoras para evitar a detecção. A infecção começa com e-mails de spear-phishing que se passam por recrutadores de grandes empresas, levando as vítimas a páginas de login falsificadas. Após o login bem-sucedido, um arquivo malicioso é entregue, permitindo que os atacantes monitorem as interações e capturem dados sensíveis.