Los actores de amenazas con vínculos con Corea del Norte han sido atribuidos a una nueva ola de ataques dirigidos a empresas europeas activas en la industria de defensa como parte de una campaña de larga duración conocida como Operación Trabajo de ensueño.
«Algunos de estos [companies] están muy involucrados en el sector de vehículos aéreos no tripulados (UAV), lo que sugiere que la operación puede estar relacionada con los esfuerzos actuales de Corea del Norte para ampliar su programa de drones», dijeron los investigadores de seguridad de ESET Peter Kálnai y Alexis Rapin. dicho en un informe compartido con The Hacker News.
Se considera que el objetivo final de la campaña es saquear información patentada y conocimientos de fabricación utilizando familias de malware como ScoringMathTea y MISTPEN. La empresa eslovaca de ciberseguridad dijo que observó la campaña que comenzó a finales de marzo de 2025.
Algunas de las entidades objetivo incluyen una empresa de ingeniería metalúrgica en el sudeste de Europa, un fabricante de componentes para aviones en Europa Central y una empresa de defensa en Europa Central.
Mientras ScoringMathTea (también conocido como bosquetigre) era observado previamente por ESET a principios de 2023 en relación con ataques cibernéticos dirigidos a una empresa de tecnología india y a un contratista de defensa en Polonia, MISTPEN fue documentado por Google Mandiant en septiembre de 2024 como parte de intrusiones dirigidas a empresas de los verticales energético y aeroespacial. La primera aparición de ScoringMathTea se remonta a octubre de 2022.
La Operación Dream Job, expuesta por primera vez por la empresa israelí de ciberseguridad ClearSky en 2020, es una campaña de ataque persistente montada por un prolífico grupo de hackers norcoreano denominado Lazarus Group, al que también se le sigue como APT-Q-1, Black Artemis, Diamond Sleet (anteriormente Zinc), Hidden Cobra, TEMP.Hermit y UNC2970. Se cree que el grupo de hackers está operativo desde al menos 2009.
En estos ataques, los actores de amenazas aprovechan señuelos de ingeniería social similares a Entrevista contagiosa acercarse a posibles objetivos con lucrativas oportunidades laborales y engañarlos para que infecten sus sistemas con malware. La campaña también muestra superposiciones con grupos rastreados como Aviso de muerte, Nuke acelerado, Operación In(ter)cepción y Operación Estrella del Norte.
«El tema dominante es una oferta de trabajo lucrativa pero falsa con un lado de malware: el objetivo recibe un documento señuelo con una descripción del trabajo y un lector de PDF troyanizado para abrirlo», dijeron los investigadores de ESET.
La cadena de ataque conduce a la ejecución de un binario, que es responsable de descargar una DLL maliciosa que elimina ScoringMathTea, así como un descargador sofisticado con nombre en código BinMergeLoader, que funciona de manera similar a MISTPEN y utiliza la API de Microsoft Graph y tokens para recuperar cargas útiles adicionales.
Se ha descubierto que secuencias de infección alternativas aprovechan un gotero desconocido para entregar dos cargas útiles provisionales, la primera de las cuales carga la segunda, lo que finalmente resulta en la implementación de ScoringMathTea, un RAT avanzado que admite alrededor de 40 comandos para tomar el control total de las máquinas comprometidas.
«Durante casi tres años, Lazarus ha mantenido un modus operandi consistente, implementando su carga útil principal preferida, ScoringMathTea, y utilizando métodos similares para troyanizar aplicaciones de código abierto», dijo ESET. «Esta estrategia predecible, pero efectiva, ofrece suficiente polimorfismo para evadir la detección de seguridad, incluso si es insuficiente para enmascarar la identidad del grupo y oscurecer el proceso de atribución».
Fuente