Pesquisadores atribuíram a uma operação continuada do grupo Lazarus (HIDDEN COBRA) uma campanha de espionagem que visou fabricantes europeus de veículos aéreos não tripulados, com ferramentas e técnicas destinadas a roubo de propriedade intelectual.
O que se sabe
Identificada como "Operation DreamJob" e rastreada desde março de 2025, a campanha mira empresas de manufatura de drones na Europa Central e Sudeste da Europa. Relatos apontam que pelo menos três empresas foram confirmadas como alvos — duas delas envolvidas no projeto de rotores single‑rotor e em componentes críticos atualmente em uso em zonas de conflito. As análises citadas nas matérias recorrem a investigação da Welivesecurity (ESET) e a reporting que compila as descobertas.
Vetor e técnicas empregadas
O ataque inicia‑se por engenharia social: ofertas de emprego forjadas para induzir funcionários a abrir documentos trojanizados. Na cadeia de execução observada, há uso de DLL side‑loading para carregar bibliotecas maliciosas por aplicações legítimas e trojanização de versões de softwares open‑source populares, incluindo TightVNC Viewer, MuPDF e plugins do WinMerge.
Os droppers identificados apresentam nomenclaturas que referenciam diretamente o foco em drones (ex.: DroneEXEHijackingLoader.dll). O payload principal identificado é um RAT denominado ScoringMathTea, que oferece cerca de 40 comandos para manipulação de sistema, exfiltração e movimentação lateral. O componente permanece completamente encriptado em disco e só é decriptado em memória durante a execução, reduzindo a eficácia de detecções baseadas em artefatos estáticos.
Impacto e alcance
O objetivo declarado da campanha parece ser a exfiltração de informação proprietária e know‑how de manufatura para acelerar programas de drones de atores estatais. A combinação de trojanização de ferramentas open‑source e DLL side‑loading aumenta a probabilidade de comprometimento em ambientes de desenvolvimento e teste, onde ferramentas de terceiros são frequentemente utilizadas.
Recomendações para defesa
- Fortalecer controles sobre software de terceiros: verificar assinaturas, hashes e fontes oficiais; evitar builds não verificadas em ambientes de engenharia.
- Implementar monitoramento comportamental e EDR com visibilidade de execução em memória, já que o payload se mantém encriptado em disco.
- Educar equipes sobre iscas de recrutamento e processos de verificação de candidaturas; estabelecer procedimentos para validar ofertas e anexos suspeitos.
- Hardenização contra DLL side‑loading: aplicar políticas de integridade de binários e whitelisting quando possível.
Limitações das informações
As fontes descrevem técnicas, artefatos observados e o contexto da campanha, mas não fornecem uma lista pública exaustiva de IOCs nem divulgação de métricas quantitativas de dados exfiltrados. Não há, nas matérias citadas, confirmação de impacto sobre operações em larga escala ou identificação pública das três empresas afetadas.
Conclusão
A campanha mostra um padrão sofisticado de espionagem industrial e supply‑chain targeting que exige controles de segurança focados em processos de desenvolvimento, validação de software de terceiros e monitoramento comportamental avançado. Equipes de segurança e propriedade intelectual das empresas do setor aeroespacial devem priorizar a detecção de execução em memória e a revisão de cadeias de suprimento de software.