Una campagna di cyber-spionaggio scoperta di recente ha rivelato fino a che punto gli hacker sponsorizzati dallo stato della Corea del Nord sono disposti a spingersi per rubare segreti militari. I ricercatori hanno confermato che il Lazarus Gruppo, un’organizzazione di hacker legata ai servizi di intelligence di Pyongyang, ha preso di mira diverse aziende della difesa in tutta Europa all’inizio del 2025.
L’operazione, che gli esperti di sicurezza informatica hanno soprannominato Operazione DreamJob, si è concentrata sulle aziende coinvolte nello sviluppo di veicoli aerei senza pilota (UAV), componenti di droni e tecnologie aerospaziali. Non si trattava di vittime casuali. Erano profondamente integrati nella catena di approvvigionamento della difesa europea, comprese le aziende che fornivano attrezzature e software utilizzati nelle operazioni militari in corso.
Secondo la società ESET di sicurezza, l’obiettivo principale degli hacker era quello di rubare progetti proprietari, progetti di sistemi e documentazione tecnica che potessero aiutare la Corea del Nord a far avanzare i propri programmi di armamento.
Invece di utilizzare attacchi di forza bruta o sfruttare le vulnerabilità note del software per entrare, il Gruppo si è affidato a qualcosa di molto più efficace, ovvero l’ingegneria Lazarus sociale.
Gli investigatori hanno scoperto che gli aggressori si spacciavano per reclutatori di note aziende di difesa e tecnologia. Inviavano quelle che sembravano essere offerte di lavoro legittime, spesso per posizioni di ingegneria o sviluppo di alto livello. Questi messaggi includevano file allegati camuffati da descrizioni di lavoro innocue o documenti tecnici.
In realtà, gli accessori sono stati trasformati in armi. Le vittime che hanno aperto i documenti hanno inconsapevolmente eseguito file trojanizzati progettati per installare malware sui loro sistemi. Gli hacker hanno utilizzato una tecnica sofisticata nota come sideload DLL, che ha consentito l’esecuzione di codice dannoso insieme a software legittimo. Questo approccio ha aiutato il malware a evitare il rilevamento da parte degli strumenti antivirus.
Una volta aperto il file infetto, un loader personalizzato ha distribuito silenziosamente uno strumento di accesso remoto (RAT) chiamato ScoringMathTea, dando agli hacker il pieno controllo del computer compromesso. Da lì, Lazarus gli operatori potevano spiare le comunicazioni interne, copiare i file ed esplorare i sistemi connessi attraverso la rete aziendale.
In alcuni casi, un’altra variante nota come BinMergeLoader è stata utilizzata per estrarre payload aggiuntivi dal cloud utilizzando l’API Graph di Microsoft, fondendosi perfettamente con il traffico normale e rendendo ancora più difficile il tracciamento da parte degli investigatori.
I droni erano il bersaglio perfetto
La scelta delle vittime non è stata casuale. Negli ultimi anni, i droni sono diventati una caratteristica distintiva della guerra e della sorveglianza moderne. Per paesi come la Corea del Nord, l’accesso alla tecnologia dei droni occidentali è un grande vantaggio strategico.
Violando gli appaltatori europei della difesa, Lazarus probabilmente mirava a raccogliere informazioni sui sistemi di controllo dei droni, sugli algoritmi di targeting e sui processi di produzione. Queste informazioni potrebbero aiutare Pyongyang a replicare o adattare tecnologie simili a livello nazionale.
Si ritiene che almeno una delle aziende prese di mira abbia fornito parti o software utilizzati negli UAV schierati in Ucraina. Per la Corea del Nord, che ha ampliato il proprio programma di droni e, secondo quanto riferito, ha fornito supporto in armi alla Russia, il furto di questo tipo di informazioni tecniche serve sia a scopi militari che politici.
Gli esperti affermano che i dati rubati potrebbero anche aiutare la Corea del Nord a rafforzare i suoi programmi di guerra informatica e missilistica, aree in cui l’innovazione tecnologica è stata a lungo limitata dalle sanzioni internazionali.
L’analisi di ESET ha rivelato che l’operazione Lazarus è iniziata intorno a marzo 2025 ed era ancora attiva mesi dopo. Tre società confermate, situate nell’Europa centrale e sudorientale, sono state compromesse o prese di mira.
Gli hacker hanno dimostrato pazienza e professionalità. Non hanno tentato di distruggere i dati o di trattenere i sistemi per un riscatto. Invece, si sono mossi in silenzio, alla ricerca di accesso e informazioni che potessero essere preziose a lungo termine.
Sebbene i dettagli specifici del furto di dati non siano stati resi pubblici, i ricercatori hanno confermato che Lazarus si è infiltrato con successo in almeno una rete, esfiltrando file di progettazione sensibili e comunicazioni interne.
Gli investigatori hanno anche notato che gli strumenti utilizzati in questa campagna assomigliavano a quelli delle operazioni precedenti Lazarus . Il gruppo spesso riutilizza il codice e l’infrastruttura, modificandoli per eludere il rilevamento. Questa continuità, combinata con firme malware univoche e server di comando e controllo, ha aiutato i ricercatori ad attribuire la campagna con Lazarus elevata sicurezza.
Lazarus è stato collegato ad alcuni degli incidenti informatici di più alto profilo al mondo
Questo incidente si inserisce in un modello più ampio di dipendenza della Corea del Nord dallo spionaggio informatico per aggirare le sanzioni internazionali. Incapace di importare tecnologia avanzata con mezzi legittimi, il paese ha trasformato l’hacking in una ricerca alternativa e in una pipeline di entrate.
Nell’ultimo decennio, Lazarus è stato collegato ad alcuni degli incidenti informatici di più alto profilo al mondo, dall’hack di Sony Pictures del 2014 all’epidemia di ransomware WannaCry del 2017 e, più recentemente, to massive cryptocurrency thefts worth billions of dollars . La capacità del gruppo di passare dai crimini finanziari allo spionaggio mirato dimostra la sua flessibilità e il sostegno dello Stato profondo.
Gli esperti dicono che Lazarus non si tratta solo di un sindacato criminale, ma di un’operazione ibrida al servizio sia dell’apparato di intelligence del governo nordcoreano che del suo bisogno di valuta forte. L’operazione europea dei droni dimostra che la sua missione si è evoluta dalla generazione di fondi al sostegno diretto di obiettivi militari e strategici.
Le persone sono spesso l’anello più debole
La Lazarus campagna offre un duro promemoria del fatto che nel panorama odierno della sicurezza informatica, le persone sono spesso l’anello più debole. Anche gli appaltatori della difesa più avanzati possono cadere vittime quando gli aggressori sfruttano la fiducia anziché la tecnologia.
Le aziende dei settori sensibili (ad esempio, aerospaziale, difesa, energia) devono ora presumere di essere potenziali bersagli per gli hacker sostenuti dallo stato. Ciò significa rafforzare sia le difese tecniche che la consapevolezza dei dipendenti.
Le truffe legate al reclutamento, come quelle Lazarus utilizzate, stanno diventando sempre più comuni. Le organizzazioni dovrebbero verificare tutte le offerte di lavoro o di partnership non richieste, applicare severi controlli sugli allegati e formare il personale a riconoscere le tattiche di ingegneria sociale. L’autenticazione a più fattori e la segmentazione della rete possono limitare i danni in caso di violazione.
Altrettanto importante è il monitoraggio delle catene di approvvigionamento del software. Lazarus L’uso del sideload DLL mostra come gli aggressori abusino di software legittimo per distribuire malware. Controlli regolari dell’integrità del codice e processi di verifica del software possono aiutare a rilevare tali manomissioni prima che raggiungano i dispositivi dei dipendenti.
Per le aziende europee della difesa, questa campagna è un avvertimento che i confini nazionali offrono poca protezione contro lo spionaggio informatico. Gli aggressori con risorse governative e obiettivi a lungo termine sono pazienti e deliberati. Non sono alla ricerca di guadagni rapidi, ma di vantaggi strategici.
Per la Corea del Nord, la campagna evidenzia come le operazioni informatiche siano diventate parte integrante della sua politica nazionale. Rubando piuttosto che sviluppando la tecnologia, il regime può colmare il divario tra sé e le nazioni più avanzate, anche sotto sanzioni.
Il Lazarus continuo successo del Gruppo mette a nudo anche una realtà preoccupante. Nonostante anni di esposizione e tracciamento, rimangono uno dei collettivi di hacker più persistenti e adattabili al mondo. Le loro tattiche continuano ad evolversi e, finché continueranno a trovare nuovi modi per sfruttare la fiducia umana, rimarranno una minaccia formidabile.
Gli attacchi dei droni europei sono solo l’ultimo promemoria del fatto che nel mondo della guerra informatica, l’arma più pericolosa non è un missile o un drone, è un’e-mail ben fatta che arriva nella casella di posta giusta.