Nordkoreanische Hackergruppe Lazarus zielt auf Drohnen

Die mit Nordkorea verbundene Hackergruppe Lazarus setzt gefälschte Stellenanzeigen ein, um europäische Unternehmen im Bereich unbemannter Luftfahrzeuge (UAV) anzugreifen. ESET-Forscher beobachteten in ihrer aktuellen Analyse der Kampagne „Operation DreamJob“, dass gezielt Unternehmen aus Verteidigung und Luftfahrt ins Visier genommen wurden. Ziel ist offenbar der Diebstahl sensibler Informationen und Fertigungs-Know-how.

Die Angriffe nutzen Social-Engineering-Techniken, Trojanisierung von Open-Source-Projekten auf GitHub und die Malware ScoringMathTea. Neue Bibliotheken für DLL-Proxying und gezielt infizierte Open-Source-Projekte erschweren die Erkennung.

Über Lazarus und Operation DreamJob

Die Gruppe, auch als HIDDEN COBRA bekannt, ist seit 2009 aktiv und verantwortlich für hochkarätige Angriffe wie den Sony-Hack oder WannaCry. Operation DreamJob setzt auf gefälschte Stellenangebote, um vor allem Unternehmen im Luft- und Raumfahrt- sowie Verteidigungssektor auszuspionieren. Trojanisierte Open-Source-Software dient als Einstieg, ScoringMathTea als zentrale Nutzlast.

Aktuelle Angriffe in Europa

Seit März 2025 beobachtete ESET Angriffe auf drei europäische Verteidigungsunternehmen: ein Metallbauunternehmen in Südosteuropa, ein Flugzeugkomponentenhersteller und ein Verteidigungsunternehmen in Mitteleuropa. Die Malware, darunter „DroneEXEHijackingLoader.dll“, deutet auf das Drohnensegment hin. Der Zugriff erfolgte über manipulierte Stellenangebote, die mit trojanisierten Dokumenten geliefert wurden.

Die Aktivitäten lassen sich mit hoher Sicherheit Lazarus und der Operation DreamJob zuordnen, basierend auf Social-Engineering-Methoden, spezifischen DLL-Proxying-Techniken, dem Einsatz von ScoringMathTea und den Zielbranchen in Europa.

Geopolitischer Kontext

Drei von Lazarus angegriffene Firmen fertigen Komponenten für militärische Ausrüstung, die derzeit im Ukraine-Krieg eingesetzt wird. Zeitgleich berichteten Medien, dass nordkoreanische Soldaten in Russland stationiert sein sollen; vor diesem Hintergrund ist es plausibel, dass die Kampagne „Operation DreamJob“ Informationen zu westlichen Waffensystemen suchte, die in der Ukraine genutzt werden.

Mehrere der angegriffenen Firmen produzieren außerdem Geräte oder Software für UAVs. Nordkorea könnte an diesen Technologien Interesse haben, um eigene Entwürfe und Fertigungsverfahren zu verbessern. Es gibt keine Hinweise darauf, dass die betroffenen Unternehmen an Südkorea liefern — ein mögliches Motiv für das spezifische Interesse.

Berichte zeigen, dass Pjöngjang sein Drohnenprogramm ausbaut, unter anderem mit russischer und iranischer Unterstützung, und auf kostengünstige Angriffs‑UAVs sowie Massenproduktion zielt. Nordkoreas bekannte Praxis des Reverse‑Engineering westlicher Drohnen (beispielsweise Saetbyol‑Modelle mit Ähnlichkeiten zu US‑Systemen) legt nahe, dass Diebstahl geistigen Eigentums Teil dieser Strategie sein könnte.

Vorangegangene Kampagnen, die Luft‑ und Raumfahrtziele betrafen, werden nordkoreanischen APT‑Gruppen zugeschrieben. Angesichts dieser Präzedenzfälle erscheint es wahrscheinlich, dass Operation DreamJob zumindest teilweise auf den Diebstahl proprietärer UAV‑Informationen und Fertigungs‑Know‑how abzielte — die Erwähnung von „Drone…“ in einem der Loader verstärkt diese Annahme.

Konkrete Details darüber, welche Informationen genau gesucht wurden, bleiben unklar. ESET fand jedoch Hinweise, dass eines der Ziele an mindestens zwei in der Ukraine eingesetzten UAV‑Modellen beteiligt ist und in der Lieferkette für fortgeschrittene Einrotor‑Drohnen mitwirkt — Prozesse, die Pjöngjang offenbar weiterentwickeln möchte.

Im Ergebnis deuten die Ziele, der Zeitpunkt und technische Indizien darauf hin, dass die Kampagne primär auf Beschaffung von UAV‑Know‑how und verwandten Fertigungsprozessen abzielte.

Grafik Quelle: ESET

Die Angreifer injizierten bösartige Laderoutinen in Open‑Source‑Projekte auf GitHub. 2025 beobachtete Malware umfasst trojanisierte TightVNC‑Viewer‑ und MuPDF‑Reader‑Downloader, eine als libpcre v8.45 getarnte Windows‑Bibliothek als Loader sowie Loader aus DirectX‑Wrapper‑Projekten.

Ein als QuanPinLoader bezeichnetes Sample trägt das chinesische Zeichen 样 (yàng) im Ressourcen‑Symbol und verweist mit „SampleIMESimplifiedQuanPin.txt“ auf das Open‑Source‑Projekt Sample IME. Zwei Downloader (BinMergeLoader) basieren auf trojanisierten WinMerge‑Plugins; weitere manipulierte Notepad++‑Plugins (u. a. NPPHexEditor v10.0.0 und ComparePlus v1.1.0) dienten ebenfalls als Einstieg.

Ein Dropper (SHA‑1: 03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4) nutzt den internen DLL‑Namen DroneEXEHijackingLoader.dll und tarnt sich als Windows Web Services Runtime‑Bibliothek, um seitlich geladen zu werden — die Teilzeichenfolge „drone“ verweist offenbar auf UAV‑Bezug und den internen Kampagnennamen.

Typisch ist die Kombination aus legitimen EXE‑Dateien und bösartigen DLLs, die in ungewöhnlichen Ordnern abgelegt werden. Viele DLLs sind trojanisierte Open‑Source‑Projekte oder eigenständige Malware, verwenden DLL‑Proxying und exportieren deshalb sowohl die legitimen Projektfunktionen als auch zusätzliche, schädliche Exporte.

Grafik Quelle: ESET

ScoringMathTea

ScoringMathTea ist ein komplexer Remote-Access-Trojaner (RAT) mit rund 40 Befehlen. Der Name kombiniert „ScoringMath“ (von einer C&C-Domain einer frühen Variante) mit der Endung „-Tea“, die ESET für nordkoreanische Payloads nutzt. Öffentlich dokumentiert wurde er erstmals 2023 unter dem Namen ForestTiger.

Sein erstes Auftreten geht auf VirusTotal-Einreichungen aus Portugal und Deutschland im Oktober 2022 zurück, getarnt als Jobangebot mit Airbus-Bezug. Die Funktionen entsprechen Lazarus-Standards: Systeminformationen sammeln, Dateien und Prozesse manipulieren, TCP-Verbindungen öffnen, lokale Befehle ausführen und weitere Payloads nachladen.

ESET-Telemetrie zeigt Einsätze bei Angriffen auf Unternehmen in Indien (Januar 2023), Polen (März 2023), Großbritannien (Oktober 2023) und Italien (September 2025). ScoringMathTea ist eine der Haupt-Payloads der Operation DreamJob, ergänzt durch komplexere Tools wie LightlessCan.

Fazit

Lazarus verfolgt seit fast drei Jahren eine konsistente Strategie: Nutzung von ScoringMathTea und Trojanisierung von Open-Source-Anwendungen. Die Methode umgeht Sicherheitserkennungen, verschleiert aber nicht die Identität der Gruppe. Trotz medialer Berichte über Operation DreamJob fehlt in sensiblen Bereichen wie Technologie, Ingenieurwesen und Verteidigung oft das Bewusstsein für die Risiken gefälschter Stellenangebote.

Die Kampagne zielte wahrscheinlich auf den Diebstahl sensibler UAV-Technologien. Angesichts der Expansion von Nordkoreas Drohnenprogramm ist zu erwarten, dass ähnliche Organisationen künftig erneut ins Visier der Lazarus-Gruppe geraten.

Bild/Quelle: https://depositphotos.com/de/home.html