Eine neu aufgedeckte Cyberspionagekampagne hat gezeigt, wie weit Nordkoreas staatlich geförderte Hacker zu gehen bereit sind, um militärische Geheimnisse zu stehlen. Forscher haben bestätigt, dass die Lazarus Gruppe, eine Hackerorganisation, die mit den Geheimdiensten Pjöngjangs verbunden ist, Anfang 2025 mehrere Rüstungsunternehmen in ganz Europa ins Visier genommen hat.
Die Operation, die Cybersicherheitsexperten als Operation DreamJob bezeichnet haben, konzentrierte sich auf Unternehmen, die an der Entwicklung von unbemannten Luftfahrzeugen (UAVs), Drohnenkomponenten und Luft- und Raumfahrttechnologien beteiligt sind. Das waren keine zufälligen Opfer. Sie waren tief in die europäische Verteidigungslieferkette integriert, einschließlich Unternehmen, die Ausrüstung und Software für laufende Militäroperationen liefern.
Nach Angaben der Sicherheitsfirma ESET bestand das Hauptziel der Hacker darin, proprietäre Baupläne, Systemdesigns und technische Dokumentationen zu stehlen, die Nordkorea dabei helfen könnten, seine eigenen Waffenprogramme voranzutreiben.
Anstatt Brute-Force-Angriffe zu verwenden oder bekannte Software-Schwachstellen auszunutzen, um einzudringen, setzte der Lazarus Konzern auf etwas weitaus Effektiveres, und das ist Social Engineering.
Die Ermittler fanden heraus, dass sich die Angreifer als Personalvermittler für bekannte Verteidigungs- und Technologieunternehmen ausgaben. Sie verschickten scheinbar legitime Stellenangebote, oft für hochrangige Ingenieurs- oder Entwicklungspositionen. Zu diesen Nachrichten gehörten angehängte Dateien, die als harmlose Stellenbeschreibungen oder technische Dokumente getarnt waren.
In Wirklichkeit wurden die Aufsätze als Waffe eingesetzt. Opfer, die die Dokumente öffneten, führten unwissentlich trojanisierte Dateien aus, die entwickelt wurden, um Malware auf ihren Systemen zu installieren. Die Hacker verwendeten eine ausgeklügelte Technik, die als DLL-Sideloading bekannt ist und es ermöglichte, bösartigen Code neben legitimer Software auszuführen. Dieser Ansatz half der Malware, die Erkennung durch Antiviren-Tools zu vermeiden.
Sobald die infizierte Datei geöffnet war, setzte ein speziell entwickelter Loader unbemerkt ein Remote Access Tool (RAT) namens ScoringMathTea ein, das den Hackern die volle Kontrolle über den kompromittierten Computer gab. Von dort aus konnten die Lazarus Mitarbeiter die interne Kommunikation ausspionieren, Dateien kopieren und vernetzte Systeme im gesamten Unternehmensnetzwerk erkunden.
In einigen Fällen wurde eine andere Variante, die als BinMergeLoader bekannt ist, verwendet, um mithilfe der Graph-API von Microsoft zusätzliche Nutzlasten aus der Cloud abzurufen, die sich nahtlos in den normalen Datenverkehr einfügen und die Rückverfolgung für Ermittler noch schwieriger machen.
Die Drohnen waren das perfekte Ziel
Die Auswahl der Opfer war nicht zufällig. In den letzten Jahren sind Drohnen zu einem bestimmenden Merkmal der modernen Kriegsführung und Überwachung geworden. Für Länder wie Nordkorea ist der Zugang zu westlicher Drohnentechnologie ein großer strategischer Vorteil.
Durch das Eindringen in europäische Rüstungsunternehmen, die wahrscheinlich darauf abzielten Lazarus , Informationen über Drohnensteuerungssysteme, Algorithmen und Herstellungsprozesse zu sammeln. Diese Informationen könnten Pjöngjang helfen, ähnliche Technologien im Inland zu replizieren oder anzupassen.
Es wird angenommen, dass mindestens eines der angegriffenen Unternehmen Teile oder Software geliefert hat, die in UAVs verwendet werden, die in der Ukraine eingesetzt werden. Für Nordkorea, das sein eigenes Drohnenprogramm ausgeweitet und Berichten zufolge Russland mit Waffen unterstützt hat, dient der Diebstahl solcher technischer Informationen sowohl militärischen als auch politischen Zwecken.
Experten sagen, dass die gestohlenen Daten Nordkorea auch dabei helfen könnten, seine Cyberkriegs- und Raketenprogramme zu stärken, Bereiche, in denen technologische Innovationen lange Zeit durch internationale Sanktionen eingeschränkt wurden.
Die Analyse von ESET ergab, dass die Lazarus Operation etwa im März 2025 begann und auch Monate später noch aktiv war. Drei bestätigte Unternehmen mit Sitz in Mittel- und Südosteuropa wurden kompromittiert oder ins Visier genommen.
Die Hacker bewiesen Geduld und Professionalität. Sie versuchten nicht, Daten zu zerstören oder Systeme für Lösegeld zu halten. Stattdessen bewegten sie sich still und leise auf der Suche nach Zugang und Informationen, die langfristig wertvoll sein könnten.
Während die genauen Details des Datendiebstahls nicht veröffentlicht wurden, bestätigten die Forscher, dass Lazarus sie erfolgreich mindestens ein Netzwerk infiltriert und sensible Designdateien und interne Kommunikation exfiltriert haben.
Die Ermittler stellten auch fest, dass die bei dieser Kampagne verwendeten Werkzeuge denen früherer Lazarus Operationen ähnelten. Die Gruppe verwendet häufig Code und Infrastruktur wieder und optimiert sie, um einer Entdeckung zu entgehen. Diese Kontinuität, kombiniert mit einzigartigen Malware-Signaturen und Command-and-Control-Servern, half den Forschern, die Kampagne mit hoher Sicherheit zuzuordnen Lazarus .
Lazarus wurde mit einigen der aufsehenerregendsten Cybervorfälle der Welt in Verbindung gebracht
Dieser Vorfall fügt sich in ein breiteres Muster ein, in dem Nordkorea auf Cyberspionage angewiesen ist, um internationale Sanktionen zu umgehen. Da das Land nicht in der Lage ist, fortschrittliche Technologie auf legitimem Wege zu importieren, hat es das Hacken in eine alternative Forschungs- und Einnahmequelle verwandelt.
In den letzten zehn Jahren wurde es Lazarus mit einigen der aufsehenerregendsten Cybervorfälle der Welt in Verbindung gebracht, vom Sony Pictures-Hack im Jahr 2014 über den WannaCry-Ransomware-Ausbruch im Jahr 2017 bis hin zu to massive cryptocurrency thefts worth billions of dollars . Die Fähigkeit der Gruppe, von Finanzverbrechen zu gezielter Spionage überzugehen, zeigt ihre Flexibilität und ihre tiefe Unterstützung durch den Staat.
Experten sagen, dass Lazarus es sich nicht nur um ein kriminelles Syndikat handelt, sondern um eine hybride Operation, die sowohl dem Geheimdienstapparat der nordkoreanischen Regierung als auch ihrem Bedarf an harter Währung dient. Die europäische Drohnenoperation zeigt, dass sich ihre Mission von der Generierung von Geldern zur direkten Unterstützung militärischer und strategischer Ziele entwickelt hat.
Menschen sind oft das schwächste Glied
Die Lazarus Kampagne erinnert eindringlich daran, dass in der heutigen Cybersicherheitslandschaft die Menschen oft das schwächste Glied sind. Selbst die fortschrittlichsten Rüstungsunternehmen können Opfer werden, wenn Angreifer Vertrauen anstelle von Technologie ausnutzen.
Unternehmen in sensiblen Branchen (z. B. Luft- und Raumfahrt, Verteidigung, Energie) müssen nun davon ausgehen, dass sie potenzielle Ziele für staatlich unterstützte Hacker sind. Das bedeutet, dass sowohl die technischen Abwehrmaßnahmen als auch das Bewusstsein der Mitarbeiter gestärkt werden müssen.
Betrügereien im Zusammenhang mit der Rekrutierung, wie sie Lazarus verwendet werden, werden immer häufiger. Unternehmen sollten alle unerwünschten Job- oder Partnerschaftsangebote überprüfen, strenge Bindungskontrollen durchsetzen und Mitarbeiter darin schulen, Social-Engineering-Taktiken zu erkennen. Multifaktor-Authentifizierung und Netzwerksegmentierung können den Schaden begrenzen, wenn es zu einer Sicherheitsverletzung kommt.
Ebenso wichtig ist die Überwachung der Lieferketten von Software. Lazarus Die Verwendung von DLL-Sideloading zeigt, wie Angreifer legitime Software missbrauchen, um Malware zu verbreiten. Regelmäßige Code-Integritätsprüfungen und Software-Verifizierungsprozesse können helfen, solche Manipulationen zu erkennen, bevor sie die Geräte der Mitarbeiter erreichen.
Für europäische Rüstungsunternehmen ist diese Kampagne eine Warnung, dass nationale Grenzen wenig Schutz vor Cyberspionage bieten. Angreifer mit staatlichen Ressourcen und langfristigen Zielen sind geduldig und überlegt. Sie sind nicht auf schnelle Auszahlungen aus, sondern auf strategische Vorteile.
Für Nordkorea zeigt die Kampagne, wie Cyberoperationen zu einem integralen Bestandteil seiner nationalen Politik geworden sind. Indem es Technologie stiehlt, anstatt sie zu entwickeln, kann das Regime die Kluft zwischen sich und den fortgeschritteneren Nationen schließen, selbst unter Sanktionen.
Der Lazarus anhaltende Erfolg der Gruppe offenbart auch eine beunruhigende Realität. Trotz jahrelanger Aufdeckung und Verfolgung sind sie nach wie vor eines der hartnäckigsten und anpassungsfähigsten Hacking-Kollektive der Welt. Ihre Taktiken entwickeln sich weiter, und solange sie neue Wege finden, das Vertrauen der Menschen auszunutzen, werden sie eine gewaltige Bedrohung bleiben.
Die europäischen Drohnenangriffe sind nur die jüngste Erinnerung daran, dass in der Welt der Cyberkriegsführung die gefährlichste Waffe nicht eine Rakete oder eine Drohne ist, sondern eine gut gestaltete E-Mail, die im richtigen Posteingang landet.