La dernière phase de l’opération Dreamjob cible les entreprises européennes de défense et de drones via de fausses offres d’emploi et des outils open source trojanisés.
Les chercheurs en cybersécurité d’ESET ont identifié une nouvelle campagne du groupe Lazarus ciblant les entrepreneurs européens de la défense, en particulier ceux impliqués dans le développement de véhicules aériens sans pilote (UAV).
Selon les conclusions d’ESET, les auteurs de la menace ont utilisé de fausses offres d’emploi et des logiciels open source trojanisés, comme c’est l’habitude dans leurs campagnes Operation Dreamjob, pour infiltrer leurs cibles.
« Certaines d’entre elles sont fortement impliquées dans le secteur des véhicules aériens sans pilote (UAV), ce qui suggère que l’opération pourrait être liée aux efforts actuels de la Corée du Nord pour étendre son programme de drones », ont déclaré les chercheurs d’ESET dans un article de blog sur les entreprises européennes ciblées. Cette activité, observée depuis mars 2025, marque une autre phase des opérations d’espionnage de longue date de Lazarus, étroitement alignées sur les objectifs militaires stratégiques de la Corée du Nord.
L’Opération Dreamjob est une série de campagnes dans lesquelles le groupe Lazarus se fait passer pour des recruteurs d’entreprises bien connues de l’aérospatiale et de la défense et déploie des charges utiles malveillantes pour gagner en persistance.
Chaîne d’attaque construite autour de fausses offres d’emploi et de logiciels falsifiés
Le compromis initial commence par des messages de spear phishing se faisant passer pour des opportunités d’emploi auprès d’entreprises de défense réputées. Ces messages délivrent des fichiers malveillants déguisés en lecteurs PDF ou en packages d’installation. Une fois exécutés, ils chargent des composants supplémentaires via le chargement latéral de DLL, une tactique que Lazarus a utilisée dans plusieurs opérations précédentes.
Dans cette campagne, ESET a observé l’utilisation de « DroneEXEHijackingLoader.dll », un chargeur spécialement conçu pour exploiter des exécutables légitimes, qui a ensuite livré « ScoringMathTea », un cheval de Troie d’accès à distance (RAT) personnalisé utilisé par le groupe pour l’exécution de commandes, l’exfiltration de données et la persistance.
L’attaque a également exploité des versions trojanisées de logiciels open source tels que WinMerge et Notepad++, intégrant des chargeurs et des droppers dans des outils par ailleurs inoffensifs. « Les attaquants ont décidé d’incorporer leurs routines de chargement malveillantes dans des projets open source disponibles sur GitHub », ont indiqué les chercheurs. « Le choix du projet varie d’une attaque à l’autre. »
Bien que ScoringMathTea soit la principale charge utile utilisée dans cette campagne axée sur les drones, ESET a noté que Lazarus a, dans le passé, fréquemment utilisé LightlessCan et les familles associées, notamment ImprudentCook, BlindingCan, miniBlindingCan et SimplexTea.
Le vol de composants de drones rencontre une ambition géopolitique
Le ciblage des entreprises liées à la conception et à la fabrication de drones n’est pas une coïncidence. Au moins deux des entreprises compromises étaient liées à des chaînes d’approvisionnement et à des systèmes logiciels critiques de composants de drones.
« Les attaques en pleine nature ont visé successivement trois entreprises européennes actives dans le secteur de la défense », ajoutent les chercheurs. « Bien que leurs activités soient quelque peu diverses, ces entités peuvent être décrites comme une entreprise d’ingénierie métallique (Europe du Sud-Est), un fabricant de composants aéronautiques (Europe centrale) et une entreprise de défense (Europe centrale). »
Pendant ce temps, des images et des rapports indiquent que la Corée du Nord recherche activement sa propre capacité de fabrication de drones – les modèles Saetbyol-4 et Saetboyl-9 qui ressemblent plus qu’à leurs équivalents américains, note le blog. Le vol de données de conception, de savoir-faire en matière de processus de fabrication et d’informations sur la chaîne d’approvisionnement pourrait accélérer l’essor des drones de Pyongyang.
ESET a fourni des IoC téléchargeables (hachages SHA-1, domaines C2 et IP) et un dépôt GitHub avec l’ensemble complet d’artefacts et a mappé la campagne aux techniques MITRE ATT&CK telles que le chargement latéral de DLL (T1574.002), l’exécution utilisateur (T1204.002), le chargement de code réfléchissant (T1620), l’injection de processus (T1055) et le protocole Web C2. (T1071.001). Selon les chercheurs d’ESET, les défenseurs de la chaîne d’approvisionnement de l’aérospatiale et des drones devraient ingérer ces IoC, ajuster les détections pour les TTP répertoriés et appliquer les étapes de confinement et de chasse.
