El grupo de hackers Lazarus, vinculado al régimen de Corea del Norte, ha comprometido a tres empresas europeas del sector defensa en una nueva campaña de espionaje cibernético conocida como “Operation DreamJob”.
Según un informe de la firma de ciberseguridad ESET, los ataques se detectaron a finales de marzo de 2025 y tuvieron como objetivo compañías involucradas en el desarrollo de tecnología de vehículos aéreos no tripulados (UAV).
Reclutamientos falsos como arma de ingeniería social
“Operation DreamJob” es una campaña ya conocida de Lazarus, en la que los atacantes se hacen pasar por reclutadores de grandes empresas, reales o ficticias, ofreciendo supuestos puestos de trabajo atractivos a profesionales de sectores estratégicos.
Mediante este engaño, las víctimas son inducidas a descargar archivos infectados que instalan malware y abren una puerta trasera al sistema corporativo.
En el pasado, esta táctica ha sido utilizada contra empresas de criptomonedas, desarrolladores de software, periodistas, investigadores en ciberseguridad y fabricantes aeroespaciales.
En esta nueva campaña, el foco de Lazarus fueron empresas vinculadas con la fabricación y diseño de drones militares, en consonancia con los esfuerzos de Pyongyang por fortalecer su arsenal de UAV inspirado en tecnologías occidentales.
Empresas de componentes de drones entre los objetivos
ESET detalla que las víctimas incluyen una firma metalúrgica del sureste de Europa, un fabricante de componentes aeronáuticos y una empresa de defensa centroeuropea.
Todas ellas participan en la producción de equipamiento militar desplegado en Ucrania y al menos dos, están directamente implicadas en el desarrollo de drones, una fabricando componentes críticos y otra en la creación de software especializado.
Aunque ESET no confirmó si los ataques lograron comprometer datos sensibles, la elección de objetivos apunta a un interés estratégico de Corea del Norte por obtener tecnología militar avanzada.
El ataque técnico: DLL sideloading y RAT personalizado
El vector de infección comienza cuando la víctima ejecuta aplicaciones o complementos de código abierto troyanizados, entre ellos MuPDF, Notepad++, WinMerge, TightVNC Viewer, o bibliotecas como libpcre y DirectX wrappers.
El grupo emplea la técnica de DLL sideloading, que aprovecha software legítimo y vulnerable para cargar código malicioso en memoria, evitando la detección por antivirus.
En las etapas siguientes, el payload malicioso es descifrado y ejecutado directamente en memoria usando rutinas tipo MemoryModule, sin escribir archivos en disco, lo que refuerza su sigilo.
El malware principal utilizado es el ScoringMathTea RAT (Remote Access Trojan), que establece comunicación con los servidores de comando y control (C2) y puede ejecutar más de 40 tipos de comandos.
Entre ellos:
- Ejecución de procesos y comandos locales.
- Carga y descarga de archivos.
- Comunicación directa TCP.
- Instalación de nuevos payloads maliciosos.
ESET también detectó una variante alternativa llamada BinMergeLoader (MISTPEN), que usa la API de Microsoft Graph y tokens de autenticación para descargar etapas adicionales del ataque.
Lazarus mantiene su efectividad pese a la exposición
Pese a los numerosos informes y exposiciones de su modus operandi, Operation DreamJob continúa siendo altamente efectiva.
El uso de ingeniería social personalizada, junto con el abuso de herramientas de software comunes, le permite a Lazarus eludir medidas de seguridad y comprometer objetivos de alto valor estratégico.
La firma ESET publicó una lista detallada de indicadores de compromiso (IoCs) que incluye dominios, archivos y técnicas empleadas en la operación, con el fin de ayudar a organizaciones del sector defensa a detectar actividades vinculadas al grupo.
Conclusión
Los ataques del grupo Lazarus reflejan una estrategia coordinada de Corea del Norte para robar propiedad intelectual militar y acelerar el desarrollo de su industria armamentística, especialmente en el ámbito de los vehículos no tripulados (UAV).
Con el conflicto en Ucrania y el interés global en la guerra de drones, estos ataques evidencian cómo la ciberguerra y la ingeniería social se han convertido en herramientas clave en la competencia tecnológica y militar internacional.