Lazarus Group

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Pesquisadores da ESET identificaram uma série de ataques cibernéticos, conhecidos como Operação Dream Job, realizados por hackers norte-coreanos, que visam empresas do setor de defesa na Europa, especialmente aquelas envolvidas com drones. Desde março de 2025, o grupo Lazarus, responsável por esses ataques, utiliza táticas de engenharia social, oferecendo falsas oportunidades de emprego que, na verdade, instalam malwares como ScoringMathTea e MISTPEN nos sistemas das vítimas. Esses malwares são projetados para roubar informações sensíveis e podem executar comandos que permitem o controle total das máquinas comprometidas. A ESET já havia observado o ScoringMathTea em ataques anteriores a empresas de tecnologia na Índia e na Polônia. A MISTPEN também foi associada a campanhas em setores críticos como aeroespacial e energia. A descoberta desses ataques ressalta a crescente preocupação com a segurança cibernética em indústrias estratégicas e a necessidade de vigilância constante contra ameaças emergentes.

Um novo ciclo de ataques cibernéticos, atribuído a atores de ameaças ligados à Coreia do Norte, está visando empresas europeias do setor de defesa, conforme relatado pela ESET. Esta campanha, conhecida como Operação Dream Job, tem como alvo empresas envolvidas na fabricação de veículos aéreos não tripulados (UAVs), sugerindo uma conexão com os esforços da Coreia do Norte para expandir seu programa de drones. Os ataques utilizam malwares como ScoringMathTea e MISTPEN para roubar informações proprietárias e know-how de fabricação. A ESET observou o início desta campanha em março de 2025, com alvos que incluem uma empresa de engenharia metalúrgica e um fabricante de componentes aeronáuticos na Europa Central e Sudeste. A Operação Dream Job, exposta pela ClearSky em 2020, é conduzida pelo grupo de hackers Lazarus, que utiliza engenharia social para atrair vítimas com ofertas de emprego falsas, levando à infecção de sistemas com malware. A estratégia do grupo é caracterizada por um padrão previsível, mas eficaz, que permite a evasão de detecções de segurança, embora não esconda sua identidade.

O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi associado a uma campanha de engenharia social que distribui três tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT e RemotePE. A campanha, observada pela Fox-IT do NCC Group em 2024, visou uma organização do setor de finanças descentralizadas (DeFi), resultando na violação do sistema de um funcionário. O ataque começou com o ator se passando por um empregado de uma empresa de negociação no Telegram e utilizando sites falsos que imitam serviços como Calendly e Picktime para agendar uma reunião com a vítima. Embora o vetor de acesso inicial não seja conhecido, o acesso foi utilizado para implantar um loader chamado PerfhLoader, que, por sua vez, instala o PondRAT. Este malware permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode. O PondRAT foi utilizado em conjunto com o ThemeForestRAT, que possui funcionalidades mais avançadas e opera de forma mais discreta. O ataque também envolveu o uso de um exploit zero-day no navegador Chrome, evidenciando a sofisticação da operação. O RemotePE, um RAT mais avançado, é reservado para alvos de alto valor e é carregado por um loader específico. A combinação de ferramentas e a abordagem furtiva do ataque indicam um nível elevado de planejamento e execução por parte do grupo.