Los actores de amenazas con vínculos con Corea del Septentrión han sido atribuidos a una nueva ola de ataques dirigidos a empresas europeas activas en la industria de defensa como parte de una campaña de larga duración conocida como Operación Trabajo de ensueño.
«Algunas de estas (empresas) están muy involucradas en el sector de vehículos aéreos no tripulados (UAV), lo que sugiere que la operación puede estar relacionada con los esfuerzos actuales de Corea del Septentrión para ampliar su software de drones», dijeron los investigadores de seguridad de ESET Peter Kálnai y Alexis Rapin en un documentación compartido con The Hacker News.
Se considera que el objetivo final de la campaña es saquear información patentada y conocimientos de fabricación utilizando familias de malware como ScoringMathTea y MISTPEN. La empresa eslovaca de ciberseguridad dijo que observó la campaña que comenzó a finales de marzo de 2025.
Algunas de las entidades objetivo incluyen una empresa de ingeniería metalúrgica en el sudeste de Europa, un fabricante de componentes para aviones en Europa Central y una empresa de defensa en Europa Central.
Mientras que ESET observó anteriormente ScoringMathTea (además conocido como ForestTiger) a principios de 2023 en relación con ataques cibernéticos dirigidos a una empresa de tecnología india y a un contratista de defensa en Polonia, Google Mandiant documentó MISTPEN en septiembre de 2024 como parte de intrusiones dirigidas a empresas de los sectores energético y aeroespacial. La primera aparición de ScoringMathTea se remonta a octubre de 2022.
La Operación Dream Job, expuesta por primera vez por la empresa israelí de ciberseguridad ClearSky en 2020, es una campaña de ataque persistente montada por un prolífico reunión de hackers norcoreano denominado Lazarus Group, al que además se le sigue como APT-Q-1, Black Artemis, Diamond Sleet (anteriormente Zinc), Hidden Cobra, TEMP.Hermit y UNC2970. Se cree que el reunión de hackers está eficaz desde al menos 2009.
En estos ataques, los actores de amenazas aprovechan señuelos de ingeniería social similares a Contagious Interview para acercarse a posibles objetivos con oportunidades laborales lucrativas y engañarlos para que infecten sus sistemas con malware. La campaña además muestra superposiciones con grupos rastreados como DeathNote, NukeSped, Operation In(ter)ception y Operation North Star.
«El tema dominante es una ofrecimiento de trabajo lucrativa pero falsa con un flanco de malware: el objetivo recibe un documento señuelo con una descripción del trabajo y un profesor de PDF troyanizado para abrirlo», dijeron los investigadores de ESET.
La condena de ataque conduce a la ejecución de un binario, que es responsable de descargar una DLL maliciosa que elimina ScoringMathTea, así como un descargador sofisticado con nombre en código BinMergeLoader, que funciona de forma similar a MISTPEN y utiliza la API de Microsoft Graph y tokens para recuperar cargas aperos adicionales.
Se ha descubierto que secuencias de infección alternativas aprovechan un dosificador desconocido para entregar dos cargas aperos provisionales, la primera de las cuales carga la segunda, lo que finalmente resulta en la implementación de ScoringMathTea, un RAT reformista que admite más o menos de 40 comandos para tomar el control total de las máquinas comprometidas.
«Durante casi tres primaveras, Lazarus ha mantenido un modus operandi consistente, implementando su carga útil principal preferida, ScoringMathTea, y utilizando métodos similares para troyanizar aplicaciones de código libre», dijo ESET. «Esta logística predecible, pero efectiva, ofrece suficiente polimorfismo para eludir la detección de seguridad, incluso si es insuficiente para tapar la identidad del reunión y oscurecer el proceso de atribución».
