Les chercheurs en cybersécurité d'ESET ont mis au jour une nouvelle instance de l'opération DreamJob, une campagne de cyberespionnage attribuée au groupe APT Lazarus, aligné avec la Corée du Nord.
Détectée à partir de la fin mars 2025, l'offensive a ciblé trois entreprises européennes distinctes du secteur de la défense. Ces dernières sont impliquées dans le secteur des véhicules aériens sans pilote.
Comment l'attaque a-t-elle été menée ?
Fidèle à son nom, l'opération DreamJob repose principalement sur l'ingénierie sociale. Les attaquants contactent leurs cibles avec de fausses offres d'emploi lucratives pour des postes de haut niveau. Les victimes reçoivent un document décrivant le poste, ainsi qu'un lecteur PDF censé être nécessaire pour l'ouvrir. Ce lecteur est en réalité un cheval de Troie.
ESET attribue la campagne d'attaque à Lazarus avec un haut niveau de certitude, en raison du mode opératoire, mais aussi de l'utilisation de la charge utile principale, le cheval de Troie d'accès à distance (RAT) ScoringMathTea.
Ce malware, déjà observé dans de précédentes attaques de Lazarus, donne aux attaquants le contrôle total des machines compromises.
Pourquoi cibler spécifiquement les drones ?
Le contexte géopolitique rend ce ciblage particulièrement sensible. Les trois organisations visées produisent des équipements militaires, ou leurs composants, dont " plusieurs sont actuellement utilisés en Ukraine " dans le cadre de l'aide militaire européenne.
ESET note qu'au moment des attaques, des soldats nord-coréens étaient déployés en Russie. Il est donc " plausible que l'opération DreamJob ait cherché à collecter des informations sensibles sur certaines armes occidentales ".
Plus directement, Pyongyang investit dans ses propres capacités de fabrication de drones, ayant souvent recours à la rétro-ingénierie. L'opération DreamJob pourrait ainsi chercher à voler des informations confidentielles et du savoir-faire en rapport avec la fabrication de drones.
Des techniques utilisées par Lazarus
Pour éviter la détection, le groupe Lazarus fait évoluer ses méthodes. L'une des évolutions est l'introduction de nouvelles bibliothèques de " DLL proxying " et la sélection de nouveaux projets open source à trojaniser pour une meilleure évasion.
Les attaquants intègrent leurs routines malveillantes dans des projets légitimes disponibles sur GitHub, comme des plugins pour Notepad++, WinMerge, ou encore le lecteur MuPDF. La charge utile principale, ScoringMathTea, n'est en outre jamais présente en clair sur le disque.
Pour ESET, le niveau de sensibilisation des employés dans les secteurs sensibles reste " insuffisant pour gérer les risques d'un processus d'embauche suspect ".
