ÚLTIMAS NOTICIAS

Lazarus (Corea del Norte) espía el segmento drones europeo

Corea del Norte espía el sector europeo de drones: ESET detecta nuevas acciones del grupo Lazarus

  • Lazarus ha atacado a varias empresas activas en la industria de defensa del centro y sudeste de Europa. Algunas de ellas están fuertemente involucradas en el sector de vehículos aéreos no tripulados (UAV / drones). 
  • Los ataques de Lazarus contra empresas que desarrollan tecnología UAV coinciden con los recientes avances reportados en el programa de drones de Corea del Norte, lo que indica un probable vínculo con el robo de información confidencial.
  • En base a la técnica de ingeniería social utilizada, la inserción de troyanos en proyectos de código abierto de GitHub y el despliegue de ScoringMathTea, ESET apunta a una nueva ola de ataques de la campaña Operation DreamJob.

 

Los investigadores de ESET han detectado recientemente un nuevo caso de la Operación DreamJob, una campaña que la compañía atribuye al grupo Lazarus, vinculado a Corea del Norte. En esta ocasión, varias empresas europeas del sector de la defensa fueron objeto de ataque, algunas de ellas estrechamente relacionadas con el desarrollo de vehículos aéreos no tripulados (UAV o drones). Estos hechos apuntan a una posible conexión con los esfuerzos actuales de Corea del Norte por reforzar su programa de drones.

Los ataques, observados en entornos reales, afectaron de forma sucesiva a tres compañías del sector de defensa del centro y sudeste de Europa. Todo indica que el acceso inicial se consiguió mediante técnicas de ingeniería social. El principal payload empleado fue ScoringMathTea, un troyano de acceso remoto (RAT) que permite a los atacantes tomar el control total de los equipos comprometidos. El objetivo más probable de la campaña era robar información confidencial y conocimientos técnicos relacionados con los procesos de fabricación.

En la operación DreamJob, el eje principal de la ingeniería social es una atractiva, aunque falsa, oferta de trabajo que llega acompañada de malware. La víctima suele recibir un documento señuelo con una descripción del puesto y un lector de PDF manipulado con código malicioso para abrirlo. ESET Research atribuye esta actividad al grupo Lazarus con un alto nivel de confianza, tanto por su relación con campañas previas de la Operación DreamJob como porque los sectores y regiones atacados en Europa coinciden con los de anteriores episodios de esta campaña (aeroespacial, defensa e ingeniería).

«En 2023 pudimos observar y analizar una campaña similar dirigida orquestada por Lazarus a una empresa española del sector aeroespacial«, comenta Josep Albors, director de investigación y concienciación de ESET España«En aquel análisis descubrimos varias herramientas nuevas siendo usadas por la Operación Dreamjob, que han servido de base para campañas posteriores como la que ahora se presenta».

Lazarus se centra en tecnología de drones usada en la guerra de Ucrania

Las tres organizaciones afectadas fabrican diferentes tipos de equipamiento militar o componentes, muchos de los cuales se están utilizando actualmente en Ucrania como parte de la ayuda militar proporcionada por países europeos. En el momento en que se detectó la actividad de la operación DreamJob, soldados norcoreanos estaban desplegados en Rusia, supuestamente para ayudar a Moscú a repeler la ofensiva ucraniana en la región de Kursk. Por tanto, es posible que la operación DreamJob tuviera como objetivo recopilar información sensible sobre algunos sistemas de armamento de fabricación occidental empleados en la guerra entre Rusia y Ucrania.

De forma más general, las entidades atacadas participan en la producción de materiales que Corea del Norte también fabrica internamente, y sobre los cuales podría estar intentando perfeccionar sus propios diseños y procesos. El interés por los conocimientos relacionados con los UAV resulta especialmente significativo, ya que informes recientes apuntan a una fuerte inversión de Pyongyang en el desarrollo de su industria nacional de drones. Corea del Norte ha dependido históricamente de la ingeniería inversa y del robo de propiedad intelectual para avanzar en sus capacidades domésticas de UAV.

«Creemos que es muy probable que la operación DreamJob tuviera como objetivo, al menos en parte, el robo de información confidencial y conocimientos de fabricación relacionados con vehículos aéreos no tripulados (UAV). La referencia a drones observada en uno de los droppers refuerza significativamente esta hipótesis», explica Peter Kálnai, investigador de ESET que descubrió y analizó estos últimos ataques del grupo Lazarus. «Hemos encontrado indicios de que una de las entidades atacadas participa en la producción de al menos dos modelos de UAV que actualmente se utilizan en Ucrania, y con los que Corea del Norte podría haberse encontrado directamente en el frente de batalla. Esta organización también forma parte de la cadena de suministro de drones avanzados de rotor único, un tipo de aeronave que Pyongyang está desarrollando activamente«.

El grupo refina sus herramientas y métodos para evadir los sistemas de detección

En general, los atacantes del grupo Lazarus son altamente activos y suelen desplegar sus puertas traseras (backdoors) contra múltiples objetivos. Este uso frecuente expone sus herramientas y facilita su detección. Como contramedida, el grupo introduce en la cadena de ejecución una serie de droppers, loaders y descargadores simples, que actúan como capas intermedias para ocultar el verdadero payload. En este caso, los atacantes decidieron incorporar sus rutinas maliciosas de carga en proyectos de código abierto disponibles en GitHub.

El payload principal, denominado ScoringMathTea, es un troyano de acceso remoto (RAT) complejo que soporta unas 40 órdenes diferentes. Su primera aparición documentada se remonta a octubre de 2022, con envíos a VirusTotal desde Portugal y Alemania, donde su dropper se hacía pasar por una oferta de empleo ficticia relacionada con Airbus.

Las funciones implementadas son las habituales en las operaciones del grupo Lazarus: manipulación de archivos y procesos, intercambio de configuraciones, recopilación de información del sistema de la víctima, apertura de conexiones TCP y ejecución de comandos locales o de nuevos payloads descargados desde el servidor de mando y control (C&C).

Según la telemetría de ESET, ScoringMathTea se ha detectado en ataques contra una empresa tecnológica india en enero de 2023, una compañía de defensa polaca en marzo de 2023, una empresa británica de automatización industrial en octubre de 2023 y una firma aeroespacial italiana en septiembre de 2025. Todo indica que se trata de uno de los payloads insignia de las campañas de la operación DreamJob.

La evolución más significativa del grupo es la introducción de nuevas bibliotecas diseñadas para el proxy de DLL y la selección de nuevos proyectos de código abierto a los que incorporar troyanos, con el fin de mejorar sus capacidades de evasión.

«Durante casi tres años, Lazarus ha mantenido un modus operandi constante, desplegando su payload principal preferido, ScoringMathTea, y utilizando métodos similares para infectar aplicaciones de código abierto. Esta estrategia, predecible pero eficaz, ofrece el grado de polimorfismo necesario para eludir los sistemas de detección, aunque no es suficiente para ocultar la identidad del grupo ni dificultar su atribución», concluye Peter Kálnai.

 

Redacción

defensayseguridad.es

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

COMPARTIR NOTICIA

NOTICIAS DESTACADAS

El Main Ground Combat System y la alianza de Indra y Rheinmetall
De la venta a la vanguardia: Indra, Rheinmetall y la batalla por el MGCS consolidan la soberanía tecnológica...
Seguir leyendo
Alemania está más cerca de poner en servicio su LÁSER NAVAL
Alemania avanza hacia la defensa láser naval operativa: Rheinmetall y MBDA completan pruebas clave a...
Seguir leyendo
BREVES: el ministro de defensa estonio sobre el 2% español en defensa: "no es suficiente"
Estonia «presiona» por un mayor gasto militar español Pevkur considera insuficiente el 2% español del...
Seguir leyendo
El Eurofighter gana posiciones en Portugal
Portugal (AED Clúster) y Airbus firman un memorando para posicionar al Eurofighter como sucesor del F-16...
Seguir leyendo
Manila muestra interés por el caza surcoreano KF-21
Filipinas evalúa la adquisición del caza surcoreano KF-21 Boramae El caza surcoreano continua su despliegue...
Seguir leyendo

COMPARTIR NOTICIA

Zelenskiy viaja a Berlín para reunirse en línea con Trump y líderes europeos
-
Seguir leyendo
Y don Felipe dijo: ¡abajo con él, chicos!
-
Seguir leyendo
X-BAT: romper las reglas
-
Seguir leyendo
Washington, Ankara y Moscú. 3 países, 2 sistemas: S-400 vs F-35
-
Seguir leyendo
Vuelta a la realidad: VCR 8X8 DRAGÓN después de la pompa y los focos
-
Seguir leyendo
Vender el S-83 sería, simplemente, no haber entendido nada
-
Seguir leyendo
VCC. Vehículo de Combate de Cadenas. Tercera serie de Vehículos prevista para el Ejército
-
Seguir leyendo
Una empresa española introduce tecnología austriaca a Rusia para impulsar el desarrollo de artillería
-
Seguir leyendo
Un grave retroceso tecnológico sin substituto a la vista
-
Seguir leyendo
Un ejemplo de ambición: la Luftwaffe juega a todas las generaciones de cazas posibles: 4.5ª , 5ª y 6ª
-
Seguir leyendo
defensalogo
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por él. De estas cookies, las que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funciones básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador sólo con su consentimiento. También tiene la opción de excluirse de estas cookies. Sin embargo, la exclusión de algunas de estas cookies puede afectar a su experiencia de navegación.