- Lazarus a ciblé plusieurs entreprises de défense en Europe centrale et du Sud-Est, notamment dans le secteur des drones.
- Ces attaques peuvent s’inscrivent dans le prolongement des efforts de la Corée du Nord pour développer ses capacités nationales en matière de drones.
- L’objectif principal semble être l’exfiltration de données sensibles et de savoir-faire industriel.
- La combinaison d’ingénierie sociale, de projets open source trojanisés et du déploiement du RAT ScoringMathTea confirme une nouvelle vague de l’opération DreamJob.
iT-News (ESET Research) – Les chercheurs d’ESET ont récemment identifié une nouvelle campagne de l’opération DreamJob, menée par le groupe APT Lazarus, aligné avec la Corée du nord. Cette offensive a visé plusieurs entreprises européennes du secteur de la défense, notamment celles impliquées dans la conception de drones et de véhicules aériens sans pilote (UAV). Ce ciblage suggère un intérêt stratégique de la Corée du Nord pour renforcer ses capacités en matière de drones militaires. Les attaques ont touché successivement trois sociétés situées en Europe centrale et du Sud-Est, avec un accès initial obtenu très probablement par des techniques d’ingénierie sociale. La charge utile principale utilisée, nommée ScoringMathTea, est un cheval de Troie d’accès à distance (RAT) permettant aux attaquants de prendre le contrôle total des systèmes compromis. L’objectif semble l’exfiltration de données sensibles et de savoir-faire industriel.
Le vecteur d’attaque repose sur une offre d’emploi fictive, présentée comme prestigieuse et alléchante. Les victimes reçoivent un document leurre accompagné d’un lecteur PDF trojanisé. ESET attribue cette campagne à Lazarus avec un haut niveau de confiance, en raison de la récurrence du mode opératoire observé et des secteurs ciblés (aérospatiale, défense, ingénierie) cohérents avec les précédentes campagnes DreamJob.
Les trois entreprises ciblées produisent des équipements militaires actuellement utilisés en Ukraine dans le cadre de l’aide européenne. Cette campagne coïncide avec le déploiement de soldats nord-coréens en Russie pour soutenir Moscou dans la région de Koursk. Lazarus pourrait donc viser la collecte de renseignements sur les systèmes d’armement occidentaux utilisés dans le conflit russo-ukrainien. Ces entités fabriquent également des matériels que la Corée du Nord produit domestiquement et dont elle cherche à améliorer la conception. L’intérêt pour les drones est particulièrement significatif, Pyongyang investissant massivement dans ses capacités de fabrication de drones, s’appuyant largement sur la rétro-ingénierie et le vol de propriété intellectuelle.
« Il est probable que l’opération DreamJob vise à dérober des informations techniques sur les drones », explique Peter Kálnai, chercheur chez ESET qui a découvert cette opération. « L’un des fichiers malveillants mentionne explicitement un drone, ce qui renforce cette hypothèse. Une des entreprises ciblées fabrique au moins deux modèles de drones actuellement déployés en Ukraine, et participe à la chaîne d’approvisionnement de drones monorotors avancés, un type d’appareil que la Corée du Nord développe activement. » ajoute Peter Kálnai.
Lazarus est connu pour sa forte activité et la réutilisation fréquente de ses portes dérobées, ce qui facilite leur détection. Pour contourner cette exposition, le groupe insère ses charges malveillantes dans des chaînes d’exécution complexes, incluant des droppers, loaders et téléchargeurs, souvent dissimulés dans des projets open source hébergés sur GitHub.
La charge utile ScoringMathTea est un RAT avancé capable d’exécuter une quarantaine de commandes. Il a été observé pour la première fois en octobre 2022 dans des fichiers leurres usurpant l’indenté d’Airbus, soumis depuis le Portugal et l’Allemagne. Ses fonctionnalités incluent la manipulation de fichiers et de processus, la collecte d’informations système, l’ouverture de connexions TCP et le téléchargement de nouvelles charges depuis un serveur C&C. La télémétrie ESET révèle son utilisation contre une entreprise technologique indienne (janvier 2023), un industriel polonais de défense (mars 2023), une société britannique d’automatisation industrielle (octobre 2023) et un fabricant aérospatial italien (septembre 2025), confirmant son statut de charge utile principale des campagnes DreamJob.
L’évolution la plus notable du groupe réside dans l’introduction de nouvelles bibliothèques de « DDL proxying » et la sélection de nouveaux projets open source à trojaniser pour améliorer l’évasion. « Depuis près de trois ans, le groupe conserve une stratégie stable : déployer ScoringMathTea et trojaniser des applications open source. Ce modus operandi, bien que prévisible, offre un polymorphisme suffisant pour contourner certaines détections, sans pour autant masquer l’identité du groupe », conclut Peter Kálnai.
Actif depuis au moins 2009, Lazarus également connu sous le nom de HIDDEN COBRA, est un groupe APT aligné avec les intérêts de la Corée du Nord, responsable de nombreuses opérations médiatisées. Il se distingue par la diversité de ses campagnes et sa capacité à mener des actions de cyberespionnage, de sabotage et de cybercriminalité financière.
L’opération DreamJob désigne les campagnes Lazarus reposant sur l’ingénierie sociale via de fausses offres d’emploi prestigieuses. Les cibles privilégiées sont les secteurs de l’aérospatiale et de la défense, suivis des entreprises d’ingénierie, de technologie, de médias et de divertissement.
Pour une analyse détaillée de la dernière campagne Lazarus DreamJob, consultez l’article de blog d’ESET Research en accès libre « Gotta fly : Lazarus targets the UAV sector » sur WeLiveSecurity.com.
À propos d’ESET
ESET® entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
