朝鲜黑客利用Operation DreamJob攻击无人机行业窃取机密数据
ESET研究人员发现了一项针对专门从事无人机(UAV)技术的欧洲防务公司的复杂网络间谍活动。这些攻击被归因于与朝鲜有关的Lazarus组织,其行动代号为Operation DreamJob,揭示了协调一致的努力,旨在从无人机行业关键参与者那里窃取专有制造数据和设计规格。
该活动从2025年3月下旬开始被观察到,成功攻击了至少三家遍布东南欧和中欧的欧洲防务承包商。受感染的实体包括一家金属工程公司、一家飞机部件制造商和一家专门的防务公司——所有这些公司都深度参与无人机的开发和生产。
这次行动标志着朝鲜网络能力的显著演变,展示了对其军事现代化工作至关重要的特定技术领域日益针对性的方法。
Operation DreamJob已成为Lazarus偏好的攻击方法的代名词:伪装成 prestigious 就业机会的社会工程诱饵。该活动最初由ClearSky安全研究人员在2020年发现,利用高调工作机会的普遍吸引力来入侵目标组织。
在最新的迭代中,受害者收到了精心制作的诱饵文档,其中包含工作描述以及带有木马化PDF阅读器的双重方法,旨在建立初始访问权限,同时保持表面上的合法性。
攻击者通过将恶意加载例程整合到来自GitHub的开源项目中,展示了显著的技术复杂性。BinMergeLoader利用Microsoft Graph API并使用Microsoft API令牌进行身份验证。
2025年Operation DreamJob执行链示例,传递BinMergeLoader和ScoringMathTea
在整个2025年,该活动使用了木马化版本的TightVNC Viewer、MuPDF阅读器以及包括WinMerge插件和Notepad++扩展在内的流行开发人员工具。
一个特别明显的迹象是以包含内部DLL名称“DroneEXEHijackingLoader.dll”的投放器形式出现——直接暗示该活动明确关注与无人机相关的知识产权盗窃。
朝鲜无人机扩张
这次行动的时间和目标选择与朝鲜国内无人机制造能力有记录的扩张完全吻合。我们认为子字符串“drone”既指定了UAV设备,也指定了攻击者的内部活动名称。
一个具有可疑内部名称并从合法Microsoft库导出的投放器。
最近的情报表明,平壤正在大力投资开发先进的UAV系统,包括像Saetbyol-4这样的侦察平台和像Saetbyol-9这样的战斗无人机。这些飞机与美国同类产品——分别是RQ-4 Global Hawk和MQ-9 Reaper——有着惊人的相似之处,表明广泛依赖逆向工程和知识产权获取。
地缘政治因素进一步为这些攻击提供了背景。在2025年观察到Operation DreamJob活动时,朝鲜军队与俄罗斯军队一起部署在乌克兰,提供了对包括目标公司制造的UAV系统在内的西方军事装备的前线接触。这种战场经验可能推动了获取当前在活跃冲突区部署的系统的详细技术规格和制造过程的努力。
ScoringMathTea:Lazarus的持久有效载荷
在所有观察到的攻击中部署的主要恶意软件是ScoringMathTea,这是一种远程访问木马,自2022年底以来一直作为Lazarus在Operation DreamJob活动中的旗舰有效载荷。这种复杂的RAT支持大约40个不同的命令,使攻击者能够操纵文件、执行任意代码、收集系统信息,并通过伪装成WordPress托管平台的受感染服务器维持持久的命令与控制通信。
该行动凸显了敏感技术领域内的一个关键漏洞:尽管媒体广泛报道了Operation DreamJob的策略,但员工对社会工程威胁的认识仍然不足。这些活动的持续成功表明,目标组织在实施强大的招聘验证流程和员工安全意识计划方面继续面临困难。
对于开发无人机技术的公司来说,这次活动直接威胁到竞争优势和军事能力。随着朝鲜加速其无人机计划扩张并据报道开始建设专门的UAV制造设施,西方防务承包商加强其网络安全态势的压力从未如此严峻。
航空航天、工程和防务领域的组织必须优先验证招聘通信,并实施能够识别Operation DreamJob活动特有的木马化应用程序和恶意DLL侧加载技术的高级端点检测系统。
入侵指标(IoCs)
| SHA-1 | 文件名 | 检测 | 描述 |
|---|---|---|---|
| 28978E987BC59E75CA22562924EAB93355CF679E | TSMSISrv.dll | Win64/NukeSped.TL | QuanPinLoader |
| 5E5BBA521F0034D342CC26DB8BCFECE57DBD4616 | libmupdf.dll | Win64/NukeSped.TE | 伪装成MuPDF渲染库v3.3.3的加载器 |
| B12EEB595FEEC2CFBF9A60E1CC21A14CE8873539 | radcui.dll | Win64/NukeSped.TO | 伪装成RemoteApp和桌面连接UI组件库的投放器 |
| 26AA2643B07C48CB6943150ADE541580279E8E0E | HideFirstLetter.DLL | Win64/NukeSped.TO | BinMergeLoader |
| 0CB73D70FD4132A4FF5493DAA84AAE839F6329D5 | libpcre.dll | Win64/NukeSped.TP | 木马化libpcre库的加载器 |
| 03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4 | webservices.dll | Win64/NukeSped.RN | 伪装成Microsoft Web Services Runtime库的投放器 |
| 71D0DDB7C6CAC4BA2BDE679941FA92A31FBEC1FF | N/A | Win64/NukeSped.RN | ScoringMathTea |
| 87B2DF764455164C6982BA9700F27EA34D3565DF | webservices.dll | Win64/NukeSped.RW | 伪装成Microsoft Web Services Runtime库的投放器 |
| E670C4275EC24D403E0D4DE7135CBCF1D54FF09C | N/A | Win64/NukeSped.RW | ScoringMathTea |
| B6D8D8F5E0864F5DA788F96BE085ABECF3581CCE | radcui.dll | Win64/NukeSped.TF | 伪装成RemoteApp和桌面连接UI组件库的加载器 |
| 5B85DD485FD516AA1F4412801897A40A9BE31837 | RCX1A07.tmp | Win64/NukeSped.TH | 加密ScoringMathTea的加载器 |
| B68C49841DC48E3672031795D85ED24F9F619782 | TSMSISrv.dll | Win64/NukeSped.TL | QuanPinLoader |
| AC16B1BAEDE349E4824335E0993533BF5FC116B3 | cache.dat | Win64/NukeSped.QK | 解密的ScoringMathTea RAT |
| 2AA341B03FAC3054C57640122EA849BC0C2B6AF6 | msadomr.dll | Win64/NukeSped.SP | 伪装成Microsoft DirectInput库的加载器 |
| CB7834BE7DE07F89352080654F7FEB574B42A2B8 | ComparePlus.dll | Win64/NukeSped.SJ | 伪装成Microsoft Web Services Runtime库的木马化Notepad++插件。来自VirusTotal的投放器 |
| 262B4ED6AC6A977135DECA5B0872B7D6D676083A | tzautosync.dat | Win64/NukeSped.RW | 解密的ScoringMathTea,在磁盘上加密存储 |
| 086816466D9D9C12FCADA1C872B8C0FF0A5FC611 | N/A | Win64/NukeSped.RN | ScoringMathTea |
| 2A2B20FDDD65BA28E7C57AC97A158C9F15A61B05 | cache.dat | Win64/NukeSped.SN | 类似于BinMergeLoader的下载器,构建为木马化NPPHexEditor插件 |