Bedreigingsactoren met banden met Noord-Korea worden toegeschreven aan een nieuwe golf van aanvallen op Europese bedrijven die actief zijn in de defensie-industrie als onderdeel van een langlopende campagne die bekend staat als Operatie Droombaan.
“Sommige van deze bedrijven zijn nauw betrokken bij de sector van onbemande luchtvaartuigen (UAV), wat erop wijst dat de operatie verband kan houden met de huidige inspanningen van Noord-Korea om zijn droneprogramma op te schalen”, aldus ESET-beveiligingsonderzoekers Peter Kálnai en Alexis Rapin in een rapport gedeeld met The Hacker News.
Er wordt aangenomen dat het einddoel van de campagne het plunderen van bedrijfseigen informatie en productiekennis is met behulp van malwarefamilies zoals ScoringMathTea en MISTPEN. Het Slowaakse cyberbeveiligingsbedrijf zei dat het de campagne eind maart 2025 had waargenomen.
Enkele van de beoogde entiteiten zijn onder meer een metaaltechniekbedrijf in Zuidoost-Europa, een fabrikant van vliegtuigonderdelen in Centraal-Europa en een defensiebedrijf in Centraal-Europa.
Terwijl ScoringMathTea (ook bekend als ForestTiger) eerder begin 2023 door ESET werd waargenomen in verband met cyberaanvallen gericht op een Indiaas technologiebedrijf en een defensie-aannemer in Polen, werd MISTPEN in september 2024 gedocumenteerd door Google Mandiant als onderdeel van inbraken gericht op bedrijven in de verticale energie- en ruimtevaartsector. De eerste verschijning van ScoringMathTea dateert van oktober 2022.
Operatie Dream Job, voor het eerst aan het licht gebracht door het Israëlische cyberbeveiligingsbedrijf ClearSky in 2020, is een aanhoudende aanvalscampagne van een productieve Noord-Koreaanse hackgroep genaamd Lazarus Group, die ook wordt gevolgd als APT-Q-1, Black Artemis, Diamond Sleet (voorheen Zinc), Hidden Cobra, TEMP.Hermit en UNC2970. Er wordt aangenomen dat de hackgroep al sinds 2009 operationeel is.
Bij deze aanvallen maken de dreigingsactoren gebruik van social engineering-lokmiddelen, vergelijkbaar met Contagious Interview, om potentiële doelwitten te benaderen met lucratieve vacatures en hen te misleiden om hun systemen met malware te infecteren. De campagne vertoont ook overlappingen met clusters die worden gevolgd als DeathNote, NukeSped, Operation In(ter)ception en Operation North Star.
“Het dominante thema is een lucratieve, maar valse baanaanbieding met een kant van malware: het doelwit ontvangt een lokdocument met een functiebeschrijving en een getrojaniseerde PDF-lezer om het te openen”, aldus ESET-onderzoekers.
De aanvalsketen leidt tot de uitvoering van een binair bestand, dat verantwoordelijk is voor het sideloaden van een kwaadaardige DLL die ScoringMathTea dropt, evenals een geavanceerde downloader met de codenaam BinMergeLoader, die op dezelfde manier functioneert als MISTPEN en de Microsoft Graph API en tokens gebruikt om extra payloads op te halen.
Er is gevonden dat alternatieve infectiesequenties een onbekende druppelaar gebruiken om twee tussentijdse ladingen af te leveren, waarvan de eerste de laatste laadt, wat uiteindelijk resulteert in de inzet van ScoringMathTea, een geavanceerde RAT die ongeveer 40 opdrachten ondersteunt om de volledige controle over de aangetaste machines over te nemen.
“Al bijna drie jaar heeft Lazarus een consistente modus operandi gehandhaafd, waarbij het zijn favoriete payload, ScoringMathTea, heeft ingezet en soortgelijke methoden heeft gebruikt om open-sourceapplicaties te trojaniseren”, aldus ESET. “Deze voorspelbare, maar effectieve strategie levert voldoende polymorfisme op om beveiligingsdetectie te omzeilen, ook al is het onvoldoende om de identiteit van de groep te maskeren en het attributieproces te verdoezelen.”
