ESET Research a récemment observé une nouvelle vague de l’Opération DreamJob, une campagne menée par le groupe Lazarus, proche du régime nord-coréen et particulièrement actif dans le domaine des drones. Ces attaques suggèrent un lien avec les efforts de Pyongyang pour renforcer son programme de drones militaires. Les chercheurs d’ESET ont identifié des attaques en conditions réelles ciblant trois entreprises du secteur de la défense en Europe centrale et du Sud-Est. L’accès initial aurait probablement été obtenu par des techniques d’ingénierie sociale. La charge utile principale déployée sur les cibles était ScoringMathTea, un cheval de Troie d’accès à distance (RAT) permettant aux attaquants de prendre le contrôle complet des machines compromises. L’objectif principal de ces attaques semble être l’exfiltration d’informations confidentielles et de savoir-faire techniques liés à la fabrication.

Dans l’Opération DreamJob, la principale technique d’ingénierie sociale consiste à diffuser de fausses offres d’emploi lucratives accompagnées d’un malware. La victime reçoit un document présentant un poste attrayant ainsi qu’un lecteur PDF trojanisé pour l’ouvrir. ESET attribue ces activités avec un haut niveau de certitude à Lazarus, notamment en raison de la récurrence de ce mode opératoire et du ciblage de secteurs similaires à ceux des précédentes campagnes DreamJob (aérospatial, défense, ingénierie).

Les trois organisations visées produisent différents types d’équipements militaires — ou des composants associés — dont plusieurs sont actuellement utilisés en Ukraine dans le cadre de l’aide militaire européenne. Au moment où ces attaques ont été observées, des soldats nord-coréens étaient déployés en Russie, officiellement pour aider Moscou à repousser l’offensive ukrainienne dans la région de Koursk. Il est donc plausible que l’Opération DreamJob ait cherché à collecter des informations sensibles sur certaines armes occidentales actuellement utilisées dans le conflit.

Ces entités ciblées seraient impliquées dans la production de matériels similaires à ceux que la Corée du Nord fabrique également sur son territoire, qu’elle chercherait à perfectionner. L’intérêt pour les drones est particulièrement notable, car plusieurs médias ont récemment rapporté que Pyongyang investit massivement dans ce domaine. Le pays a largement recours à la rétro-ingénierie et au vol de propriété intellectuelle pour développer ses propres capacités.

« Nous pensons que l’Opération DreamJob visait, du moins en partie, à voler des informations confidentielles et du savoir-faire relatif à la fabrication de drones. Le drone découvert dans l’un des dépôts renforce considérablement cette hypothèse », explique Peter Kálnai, chercheur chez ESET et auteur de l’analyse de ces récentes attaques Lazarus. « Nous avons trouvé des preuves qu’une des entreprises ciblées participe à la production d’au moins deux modèles de drones actuellement utilisés en Ukraine, que la Corée du Nord a probablement rencontrés sur la ligne de front. Cette société intervient également dans la chaîne d’approvisionnement de drones monorotors avancés, un type d’appareil que Pyongyang développe activement. »

Le groupe Lazarus reste très actif et emploie régulièrement ses portes dérobées contre de multiples cibles. Ces réutilisations fréquentes facilitent la détection de ses outils. Pour contourner cette difficulté, le groupe précède ses malwares d’une série d’injecteurs, de chargeurs et de téléchargeurs simples, et intègre désormais ses routines malveillantes dans des projets open source disponibles sur GitHub.

ScoringMathTea, la charge utile principale, est un RAT sophistiqué capable d’exécuter une quarantaine de commandes. Il est apparu pour la première fois dans des soumissions VirusTotal provenant du Portugal et d’Allemagne en octobre 2022, sous la forme d’un leurre d’offre d’emploi pour l’avionneur Airbus. Ses fonctionnalités couvrent la manipulation de fichiers et de processus, la collecte d’informations système, l’ouverture de connexions TCP, ainsi que l’exécution de commandes locales ou de nouvelles charges utiles téléchargées depuis un serveur C&C.

La télémétrie d’ESET a détecté ScoringMathTea lors d’attaques contre une entreprise technologique indienne (janvier 2023) ;une entreprise de défense polonaise (mars 2023) ; une entreprise britannique d’automatisation industrielle (octobre 2023) et une entreprise aérospatiale italienne (septembre 2025).

Il s’agirait de l’une des charges utiles des campagnes DreamJob. L’évolution la plus significative du groupe réside dans la conception de nouvelles bibliothèques pour le proxy DLL et l’infection de nouveaux projets open source par des chevaux de Troie, afin d’améliorer leurs capacités d’évasion.

« Depuis près de trois ans, Lazarus suit un mode opératoire cohérent : il déploie sa charge utile principale ScoringMathTea et utilise des méthodes similaires pour compromettre des applications open source. Cette stratégie, à la fois prévisible et efficace, offre un polymorphisme suffisant pour contourner certaines détections de sécurité, même si elle ne parvient pas à masquer totalement l’identité du groupe ni à compliquer l’attribution des attaques », conclut Kálnai.

Le groupe Lazarus (connu aussi comme HIDDEN COBRA) est un groupe APT lié à la Corée du Nord, actif depuis au moins 2009. Il est responsable d'incidents importants. La diversité, le nombre et l'originalité de la mise en œuvre des campagnes Lazarus le caractérisent. Il fonctionne selon les trois piliers de la cybercriminalité : le cyberespionnage, le cybersabotage et la recherche de profits.

Pour une analyse complète de la dernière campagne « Lazarus DreamJob » contre le secteur des drones, consultez le nouvel article d’ESET Research « Gotta fly: Lazarus targets the UAV sector » sur WeLiveSecurity.com