Redacción Digital Inside España
ESET ha detectado un nuevo episodio de la Operación DreamJob atribuido con alto nivel de confianza al grupo Lazarus. La campaña se ha materializado en entornos reales y ha impactado de forma sucesiva en tres empresas europeas del sector de la defensa, parte de ellas con relación directa con el desarrollo de vehículos aéreos no tripulados. Las víctimas fueron tres compañías de defensa del centro y sudeste de Europa, con conexión directa con el desarrollo de drones.
El vector de entrada se basó en técnicas de ingeniería social. En la operativa de DreamJob, la víctima recibe una oferta de trabajo atractiva pero falsa que llega acompañada de un documento señuelo y un lector de PDF manipulado con código malicioso. El acceso inicial se consiguió mediante ingeniería social basada en falsas ofertas de empleo y documentos PDF manipulados. El payload principal fue ScoringMathTea, un troyano de acceso remoto capaz de tomar el control total de los equipos y ejecutar unas 40 órdenes. En un lenguaje menos técnico, un RAT es un programa que, una vez dentro de un ordenador corporativo, posibilita a quien lo maneja ver, copiar o modificar archivos, instalar más software malicioso y usar la máquina como puerta de entrada a otros sistemas internos.
El propósito de la campaña, según la investigación; fue la obtención de información sensible y conocimiento de procesos industriales relacionados con la fabricación. El objetivo más probable era robar información confidencial y conocimientos de fabricación, con especial interés en tecnología UAV.
Josep Albors, director de investigación y concienciación de ESET España comenta: “En 2023 pudimos observar y analizar una campaña similar dirigida orquestada por Lazarus a una empresa española del sector aeroespacial. En aquel análisis descubrimos varias herramientas nuevas siendo usadas por la Operación Dreamjob, que han servido de base para campañas posteriores como la que ahora se presenta”.
Foco en UAV y contexto geopolítico
Las tres organizaciones afectadas producen equipamiento militar o componentes que se están utilizando en Ucrania como parte de la ayuda europea. Coincidiendo con la detección de esta actividad, Corea del Norte tenía efectivos desplegados en Rusia con la supuesta misión de ayudar a repeler la ofensiva ucraniana en la región de Kursk. Con este telón de fondo, ESET considera plausible que la campaña buscase recopilar información sobre sistemas de armamento de fabricación occidental empleados en la guerra entre Rusia y Ucrania. De forma más amplia, las entidades atacadas trabajan en materiales que también fabrica Corea del Norte y sobre los cuales el país podría estar tratando de perfeccionar sus propios diseños y procesos.
El interés por los UAV resulta especialmente relevante. La investigación reporta una referencia explícita a drones en uno de los droppers (programas intermedios que introducen discretamente la carga maliciosa), lo que refuerza la hipótesis de que la información sobre aeronaves no tripuladas era un objetivo específico. Además, se han hallado indicios de que una de las entidades atacadas participa en la producción de al menos dos modelos de UAV que actualmente se usan en Ucrania y forma parte de la cadena de suministro de drones avanzados de rotor único, un tipo de aeronave que Pyongyang está desarrollando activamente. Los indicios apuntan a que la campaña buscaba información sobre sistemas occidentales usados en Ucrania y sobre drones de rotor único en desarrollo.
Evolución técnica y huella de ScoringMathTea
Lazarus mantiene una actividad elevada y suele desplegar sus puertas traseras contra múltiples objetivos. Este uso reiterado expone sus herramientas y facilita su detección, por lo que el grupo ha incorporado capas intermedias en la cadena de ejecución con droppers, loaders y descargadores simples que ocultan la verdadera carga. En esta ocasión, los atacantes integraron rutinas maliciosas en proyectos de código abierto publicados en GitHub, lo que complica la identificación del ataque al camuflarlo como software legítimo.
ScoringMathTea, documentado por primera vez en octubre de 2022 con envíos a VirusTotal desde Portugal y Alemania, se ha consolidado como una de las piezas principales de DreamJob. Entre sus capacidades están la manipulación de archivos y procesos, el intercambio de configuraciones, la recopilación de información del sistema comprometido, la apertura de conexiones TCP y la ejecución de comandos locales o de nuevas cargas descargadas desde el servidor de mando y control (C&C). En telemetría de ESET, este malware se ha observado en ataques contra una empresa tecnológica india en enero de 2023, una compañía de defensa polaca en marzo de 2023, una empresa británica de automatización industrial en octubre de 2023 y una firma aeroespacial italiana en septiembre de 2025.
La evolución más reciente incluye bibliotecas diseñadas para el proxy de DLL (técnica que suplanta bibliotecas del sistema para redirigir llamadas) y la selección de nuevos proyectos de código abierto a los que incorporar troyanos, buscando mejorar la evasión frente a sistemas de detección sin cambiar en exceso el patrón operativo. Lazarus refinó su cadena de infección con droppers y loaders insertados en proyectos de código abierto para evadir la detección.
Peter Kálnai, investigador de ESET que descubrió y analizó estos últimos ataques del grupo Lazarus explica: “Creemos que es muy probable que la operación DreamJob tuviera como objetivo, al menos en parte, el robo de información confidencial y conocimientos de fabricación relacionados con vehículos aéreos no tripulados (UAV). La referencia a drones observada en uno de los droppers refuerza significativamente esta hipótesis. Hemos encontrado indicios de que una de las entidades atacadas participa en la producción de al menos dos modelos de UAV que actualmente se utilizan en Ucrania, y con los que Corea del Norte podría haberse encontrado directamente en el frente de batalla. Esta organización también forma parte de la cadena de suministro de drones avanzados de rotor único, un tipo de aeronave que Pyongyang está desarrollando activamente”.
Para detalles técnicos adicionales sobre esta campaña de DreamJob orientada al sector UAV, ESET Research remite a su entrada más reciente titulada “Gotta fly: Lazarus targets the UAV sector”. ESET ya analizó en 2023 una campaña similar que afectó a una empresa aeroespacial española, antecedente que ha servido de base para las acciones actuales.
