Los actores de amenazas con vínculos con Corea del Boreal han sido atribuidos a una nueva ola de ataques dirigidos a empresas europeas activas en la industria de defensa como parte de una campaña de larga duración conocida como Operación Trabajo de ensueño.
“Algunas de estas (empresas) están muy involucradas en el sector de vehículos aéreos no tripulados (UAV), lo que sugiere que la operación puede estar relacionada con los esfuerzos actuales de Corea del Boreal para ampliar su software de drones”, dijeron los investigadores de seguridad de ESET Peter Kálnai y Alexis Rapin en un referencia compartido con The Hacker News.
Se considera que el objetivo final de la campaña es saquear información patentada y conocimientos de fabricación utilizando familias de malware como ScoringMathTea y MISTPEN. La empresa eslovaca de ciberseguridad dijo que observó la campaña que comenzó a finales de marzo de 2025.
Algunas de las entidades objetivo incluyen una empresa de ingeniería metalúrgica en el sudeste de Europa, un fabricante de componentes para aviones en Europa Central y una empresa de defensa en Europa Central.
Mientras que ESET observó anteriormente ScoringMathTea (todavía conocido como ForestTiger) a principios de 2023 en relación con ataques cibernéticos dirigidos a una empresa de tecnología india y a un contratista de defensa en Polonia, Google Mandiant documentó MISTPEN en septiembre de 2024 como parte de intrusiones dirigidas a empresas de los sectores energético y aeroespacial. La primera aparición de ScoringMathTea se remonta a octubre de 2022.
La Operación Dream Job, expuesta por primera vez por la empresa israelí de ciberseguridad ClearSky en 2020, es una campaña de ataque persistente montada por un prolífico asociación de hackers norcoreano denominado Lazarus Group, al que todavía se le sigue como APT-Q-1, Black Artemis, Diamond Sleet (anteriormente Zinc), Hidden Cobra, TEMP.Hermit y UNC2970. Se cree que el asociación de hackers está operante desde al menos 2009.
En estos ataques, los actores de amenazas aprovechan señuelos de ingeniería social similares a Contagious Interview para acercarse a posibles objetivos con oportunidades laborales lucrativas y engañarlos para que infecten sus sistemas con malware. La campaña todavía muestra superposiciones con grupos rastreados como DeathNote, NukeSped, Operation In(ter)ception y Operation North Star.
“El tema dominante es una ofrecimiento de trabajo lucrativa pero falsa con un costado de malware: el objetivo recibe un documento señuelo con una descripción del trabajo y un maestro de PDF troyanizado para abrirlo”, dijeron los investigadores de ESET.
La sujeción de ataque conduce a la ejecución de un binario, que es responsable de descargar una DLL maliciosa que elimina ScoringMathTea, así como un descargador sofisticado con nombre en código BinMergeLoader, que funciona de guisa similar a MISTPEN y utiliza la API de Microsoft Graph y tokens para recuperar cargas bártulos adicionales.
Se ha descubierto que secuencias de infección alternativas aprovechan un cuentagotas desconocido para entregar dos cargas bártulos provisionales, la primera de las cuales carga la segunda, lo que finalmente resulta en la implementación de ScoringMathTea, un RAT innovador que admite cerca de de 40 comandos para tomar el control total de las máquinas comprometidas.
“Durante casi tres abriles, Lazarus ha mantenido un modus operandi consistente, implementando su carga útil principal preferida, ScoringMathTea, y utilizando métodos similares para troyanizar aplicaciones de código destapado”, dijo ESET. “Esta logística predecible, pero efectiva, ofrece suficiente polimorfismo para evitar la detección de seguridad, incluso si es insuficiente para velar la identidad del asociación y oscurecer el proceso de atribución”.
