Una campaña de ciberespionaje recientemente descubierta ha revelado hasta dónde están dispuestos a llegar los piratas informáticos patrocinados por el estado de Corea del Norte para robar secretos militares. Los investigadores han confirmado que el Lazarus Grupo, una organización de piratería vinculada a los servicios de inteligencia de Pyongyang, atacó a múltiples empresas de defensa en toda Europa a principios de 2025.
La operación, que los expertos en ciberseguridad han denominado Operación DreamJob, se centró en empresas involucradas en el desarrollo de vehículos aéreos no tripulados (UAV), componentes de drones y tecnologías aeroespaciales. Estas no fueron víctimas al azar. Estaban profundamente integrados en la cadena de suministro de defensa europea, incluidas las empresas que proporcionaban equipos y software utilizados en operaciones militares en curso.
Según la firma ESET de seguridad, el objetivo principal de los piratas informáticos era robar planos patentados, diseños de sistemas y documentación técnica que podrían ayudar a Corea del Norte a avanzar en sus propios programas de armas.
En lugar de utilizar ataques de fuerza bruta o explotar vulnerabilidades de software conocidas para ingresar, el Grupo confió en algo mucho más efectivo, y eso es la Lazarus ingeniería social.
Los investigadores descubrieron que los atacantes se hicieron pasar por reclutadores de conocidas empresas de defensa y tecnología. Enviaron lo que parecían ser ofertas de trabajo legítimas, a menudo para puestos de ingeniería o desarrollo de alto nivel. Estos mensajes incluían archivos adjuntos disfrazados de descripciones de trabajo o documentos técnicos inofensivos.
En realidad, los accesorios estaban armados. Las víctimas que abrieron los documentos ejecutaron sin saberlo archivos troyanos diseñados para instalar malware en sus sistemas. Los piratas informáticos utilizaron una técnica sofisticada conocida como descarga lateral de DLL, que permitió que el código malicioso se ejecutara junto con software legítimo. Este enfoque ayudó al malware a evitar la detección por parte de las herramientas antivirus.
Una vez que se abrió el archivo infectado, un cargador personalizado implementó silenciosamente una herramienta de acceso remoto (RAT) llamada ScoringMathTea, dando a los piratas informáticos el control total de la computadora comprometida. A partir de ahí, Lazarus los operativos podrían espiar las comunicaciones internas, copiar archivos y explorar los sistemas conectados en la red de la empresa.
En algunos casos, se utilizó otra variante conocida como BinMergeLoader para extraer cargas útiles adicionales de la nube utilizando la API Graph de Microsoft, mezclándose a la perfección con el tráfico normal y dificultando aún más el rastreo de los investigadores.
Los drones eran el objetivo perfecto
La elección de las víctimas no fue aleatoria. En los últimos años, los drones se han convertido en una característica definitoria de la guerra y la vigilancia modernas. Para países como Corea del Norte, el acceso a la tecnología occidental de drones es una gran ventaja estratégica.
Al violar los contratistas de defensa europeos, Lazarus probablemente tenían como objetivo recopilar inteligencia sobre sistemas de control de drones, algoritmos de orientación y procesos de fabricación. Esta información podría ayudar a Pyongyang a replicar o adaptar tecnologías similares a nivel nacional.
Se cree que al menos una de las empresas objetivo ha suministrado piezas o software utilizado en vehículos aéreos no tripulados desplegados en Ucrania. Para Corea del Norte, que ha estado expandiendo su propio programa de drones y, según los informes, ha brindado apoyo armamentístico a Rusia, robar este tipo de información técnica sirve tanto para fines militares como políticos.
Los expertos dicen que los datos robados también podrían ayudar a Corea del Norte a fortalecer sus programas de guerra cibernética y misiles, áreas donde la innovación tecnológica ha estado limitada durante mucho tiempo por las sanciones internacionales.
El análisis de ESET reveló que la Lazarus operación comenzó alrededor de marzo de 2025 y seguía activa meses después. Tres empresas confirmadas, ubicadas en Europa Central y Sudoriental, se vieron comprometidas o atacadas.
Los piratas informáticos demostraron paciencia y profesionalismo. No intentaron destruir datos ni retener sistemas para pedir un rescate. En cambio, se movieron en silencio, buscando acceso e información que pudiera ser valiosa a largo plazo.
Si bien los detalles específicos del robo de datos no se han hecho públicos, los investigadores confirmaron que Lazarus se infiltró con éxito en al menos una red, exfiltrando archivos de diseño confidenciales y comunicaciones internas.
Los investigadores también notaron que las herramientas utilizadas en esta campaña se parecían a las de operaciones anteriores Lazarus . El grupo a menudo reutiliza el código y la infraestructura, ajustándolo para evadir la detección. Esa continuidad, combinada con firmas de malware únicas y servidores de comando y control, ayudó a los investigadores a atribuir la campaña con Lazarus gran confianza.
Lazarus se ha relacionado con algunos de los incidentes cibernéticos de más alto perfil en el mundo
Este incidente encaja en un patrón más amplio de dependencia de Corea del Norte del ciberespionaje para eludir las sanciones internacionales. Incapaz de importar tecnología avanzada a través de medios legítimos, el país ha convertido la piratería en una fuente alternativa de investigación e ingresos.
Durante la última década, Lazarus se ha relacionado con algunos de los incidentes cibernéticos de más alto perfil en el mundo, desde el hackeo de Sony Pictures de 2014 hasta el brote de ransomware WannaCry de 2017 y, más recientemente, to massive cryptocurrency thefts worth billions of dollars . La capacidad del grupo para pasar de los delitos financieros al espionaje selectivo demuestra su flexibilidad y respaldo estatal profundo.
Los expertos dicen que Lazarus no es solo un sindicato criminal, sino una operación híbrida que sirve tanto al aparato de inteligencia del gobierno de Corea del Norte como a su necesidad de divisas. La operación europea de drones muestra que su misión ha evolucionado de generar fondos a apoyar directamente objetivos militares y estratégicos.
Las personas suelen ser el eslabón más débil
La Lazarus campaña ofrece un claro recordatorio de que en el panorama actual de la ciberseguridad, las personas suelen ser el eslabón más débil. Incluso los contratistas de defensa más avanzados pueden ser víctimas cuando los atacantes explotan la confianza en lugar de la tecnología.
Las empresas de industrias sensibles (por ejemplo, aeroespacial, defensa, energía) ahora deben asumir que son objetivos potenciales para los piratas informáticos respaldados por el estado. Esto significa reforzar tanto las defensas técnicas como la conciencia de los empleados.
Las estafas relacionadas con el reclutamiento, como las que Lazarus se utilizan, son cada vez más comunes. Las organizaciones deben verificar todas las ofertas de trabajo o asociación no solicitadas, hacer cumplir estrictos controles de apego y capacitar al personal para reconocer las tácticas de ingeniería social. La autenticación multifactor y la segmentación de la red pueden limitar el daño si se produce una infracción.
Igualmente importante es monitorear las cadenas de suministro de software. Lazarus muestra cómo los atacantes abusan del software legítimo para entregar malware. Las comprobaciones periódicas de la integridad del código y los procesos de verificación del software pueden ayudar a detectar dicha manipulación antes de que llegue a los dispositivos de los empleados.
Para las empresas de defensa europeas, esta campaña es una advertencia de que las fronteras nacionales ofrecen poca protección contra el ciberespionaje. Los atacantes con recursos gubernamentales y objetivos a largo plazo son pacientes y deliberados. No buscan recompensas rápidas, sino ventajas estratégicas.
Para Corea del Norte, la campaña destaca cómo las operaciones cibernéticas se han convertido en una parte integral de su política nacional. Al robar en lugar de desarrollar tecnología, el régimen puede cerrar la brecha entre él y las naciones más avanzadas, incluso bajo sanciones.
El Lazarus éxito continuo del Grupo también expone una realidad preocupante. A pesar de años de exposición y seguimiento, siguen siendo uno de los colectivos de piratería más persistentes y adaptables del mundo. Sus tácticas continúan evolucionando, y mientras sigan encontrando nuevas formas de explotar la confianza humana, seguirán siendo una amenaza formidable.
Los ataques con drones europeos son solo el último recordatorio de que en el mundo de la guerra cibernética, el arma más peligrosa no es un misil o un dron, es un correo electrónico bien elaborado que llega a la bandeja de entrada correcta.