Een nieuw ontdekte cyberspionagecampagne heeft onthuld hoe ver de door de staat gesponsorde hackers van Noord-Korea bereid zijn te gaan om militaire geheimen te stelen. Onderzoekers hebben bevestigd dat de Groep, een hackorganisatie die banden heeft met de Lazarus inlichtingendiensten van Pyongyang, zich begin 2025 op meerdere defensiebedrijven in heel Europa heeft gericht.
De operatie, die cybersecurity-experts Operation DreamJob hebben genoemd, was gericht op bedrijven die betrokken zijn bij de ontwikkeling van onbemande luchtvaartuigen (UAV’s), drone-componenten en ruimtevaarttechnologieën. Dit waren geen willekeurige slachtoffers. Ze waren diep geïntegreerd in de Europese defensietoeleveringsketen, inclusief bedrijven die apparatuur en software leveren die worden gebruikt bij lopende militaire operaties.
Volgens het beveiligingsbedrijf ESET was het belangrijkste doel van de hackers om eigen blauwdrukken, systeemontwerpen en technische documentatie te stelen die Noord-Korea zouden kunnen helpen zijn eigen wapenprogramma’s vooruit te helpen.
In plaats van brute-force-aanvallen te gebruiken of bekende softwarekwetsbaarheden te misbruiken om binnen te komen, vertrouwde de Lazarus groep op iets veel effectievers, en dat is social engineering.
Onderzoekers ontdekten dat de aanvallers zich voordeden als recruiters voor bekende defensie- en technologiebedrijven. Ze stuurden wat legitieme vacatures leken, vaak voor technische of ontwikkelingsfuncties op hoog niveau. Deze berichten bevatten bijgevoegde bestanden vermomd als onschuldige functiebeschrijvingen of technische documenten.
In werkelijkheid waren de bijlagen bewapend. Slachtoffers die de documenten openden, voerden onbewust trojan-bestanden uit die waren ontworpen om malware op hun systemen te installeren. De hackers gebruikten een geavanceerde techniek die bekend staat als DLL-sideloading, waardoor kwaadaardige code naast legitieme software kon worden uitgevoerd. Deze aanpak hielp de malware detectie door antivirusprogramma’s te voorkomen.
Nadat het geïnfecteerde bestand was geopend, zette een op maat gemaakte lader stilletjes een tool voor externe toegang (RAT) in, genaamd ScoringMathTea, waardoor de hackers volledige controle kregen over de gecompromitteerde computer. Van daaruit konden agenten interne communicatie bespioneren, Lazarus bestanden kopiëren en verbonden systemen in het bedrijfsnetwerk verkennen.
In sommige gevallen werd een andere variant, bekend als BinMergeLoader, gebruikt om extra payloads uit de cloud te halen met behulp van de Graph API van Microsoft, die naadloos opging in het normale verkeer en het voor onderzoekers nog moeilijker maakte om te traceren.
De drones waren het perfecte doelwit
De keuze van de slachtoffers was niet willekeurig. In de afgelopen jaren zijn drones een bepalend kenmerk geworden van moderne oorlogsvoering en bewaking. Voor landen als Noord-Korea is toegang tot westerse dronetechnologie een groot strategisch voordeel.
Door inbreuk te maken op Europese defensie-aannemers, Lazarus waarschijnlijk gericht op het verzamelen van informatie over drone-besturingssystemen, targeting-algoritmen en productieprocessen. Deze informatie zou Pyongyang kunnen helpen om soortgelijke technologieën in eigen land te repliceren of aan te passen.
Ten minste één van de beoogde bedrijven zou onderdelen of software hebben geleverd die worden gebruikt in UAV’s die in Oekraïne zijn ingezet. Voor Noord-Korea, dat zijn eigen drone-programma heeft uitgebreid en naar verluidt wapensteun heeft verleend aan Rusland, dient het stelen van dit soort technische informatie zowel militaire als politieke doeleinden.
Experts zeggen dat de gestolen gegevens Noord-Korea ook kunnen helpen zijn cyberoorlogsvoering en raketprogramma’s te versterken, gebieden waar technologische innovatie lange tijd is beperkt door internationale sancties.
Uit de analyse van ESET bleek dat de Lazarus operatie rond maart 2025 begon en maanden later nog steeds actief was. Drie bevestigde bedrijven, gevestigd in Centraal- en Zuidoost-Europa, werden gecompromitteerd of het doelwit.
De hackers toonden geduld en professionaliteit. Ze probeerden geen gegevens te vernietigen of systemen vast te houden voor losgeld. In plaats daarvan trokken ze stilletjes te werk, op zoek naar toegang en informatie die op de lange termijn waardevol zou kunnen zijn.
Hoewel de specifieke details van de gegevensdiefstal niet openbaar zijn gemaakt, bevestigden onderzoekers dat ze Lazarus met succes ten minste één netwerk hebben geïnfiltreerd, waarbij gevoelige ontwerpbestanden en interne communicatie zijn geëxfiltreerd.
Onderzoekers merkten ook op dat de tools die in deze campagne werden gebruikt, leken op die van eerdere Lazarus operaties. De groep hergebruikt vaak code en infrastructuur en past deze aan om detectie te omzeilen. Die continuïteit, gecombineerd met unieke malwarehandtekeningen en command-and-control-servers, hielp onderzoekers de campagne met veel vertrouwen toe te Lazarus schrijven.
Lazarus is in verband gebracht met enkele van de meest spraakmakende cyberincidenten ter wereld
Dit incident past in een breder patroon van Noord-Korea’s afhankelijkheid van cyberspionage om internationale sancties te omzeilen. Niet in staat om geavanceerde technologie op legitieme wijze te importeren, heeft het land hacken veranderd in een alternatieve onderzoeks- en inkomstenpijplijn.
In het afgelopen decennium Lazarus is het in verband gebracht met enkele van de meest spraakmakende cyberincidenten ter wereld, van de Sony Pictures-hack in 2014 tot de WannaCry-ransomware-uitbraak in 2017, en meer recentelijk, to massive cryptocurrency thefts worth billions of dollars . Het vermogen van de groep om over te schakelen van financiële misdaden naar gerichte spionage toont zijn flexibiliteit en diepe staatssteun.
Experts zeggen dat Lazarus het niet alleen een crimineel syndicaat is, maar een hybride operatie die zowel het inlichtingenapparaat van de Noord-Koreaanse regering als de behoefte aan harde valuta dient. De Europese drone-operatie laat zien dat haar missie is geëvolueerd van het genereren van fondsen naar het rechtstreeks ondersteunen van militaire en strategische doelen.
Mensen zijn vaak de zwakste schakel
De Lazarus campagne herinnert ons er sterk aan dat mensen in het huidige cyberbeveiligingslandschap vaak de zwakste schakel zijn. Zelfs de meest geavanceerde defensie-aannemers kunnen het slachtoffer worden wanneer aanvallers misbruik maken van vertrouwen in plaats van technologie.
Bedrijven in gevoelige sectoren (bijv. lucht- en ruimtevaart, defensie, energie) moeten er nu van uitgaan dat ze potentiële doelwitten zijn voor door de staat gesteunde hackers. Dit betekent dat zowel de technische verdediging als het bewustzijn van werknemers moeten worden aangescherpt.
Wervingsgerelateerde oplichting, zoals de gebruikte Lazarus , komt steeds vaker voor. Organisaties moeten alle ongevraagde vacatures of samenwerkingsaanbiedingen verifiëren, strikte bijlagecontroles afdwingen en personeel opleiden om social engineering-tactieken te herkennen. Multifactorauthenticatie en netwerksegmentatie kunnen de schade beperken als er toch een inbreuk plaatsvindt.
Net zo belangrijk is het monitoren van de toeleveringsketens van software. Lazarus ‘s gebruik van DLL-sideloading laat zien hoe aanvallers legitieme software misbruiken om malware af te leveren. Regelmatige integriteitscontroles van de code en softwareverificatieprocessen kunnen helpen om dergelijke manipulatie op te sporen voordat deze de apparaten van werknemers bereikt.
Voor Europese defensiebedrijven is deze campagne een waarschuwing dat landsgrenzen weinig bescherming bieden tegen cyberspionage. Aanvallers met overheidsmiddelen en langetermijndoelen zijn geduldig en weloverwogen. Ze zijn niet uit op snelle uitbetalingen, maar op strategische voordelen.
Voor Noord-Korea laat de campagne zien hoe cyberoperaties een integraal onderdeel zijn geworden van het nationale beleid. Door technologie te stelen in plaats van te ontwikkelen, kan het regime de kloof tussen zichzelf en meer geavanceerde landen dichten, zelfs onder sancties.
Het aanhoudende succes van de Lazarus Groep legt ook een verontrustende realiteit bloot. Ondanks jaren van blootstelling en tracking, blijven ze een van ‘s werelds meest hardnekkige en adaptieve hackcollectieven. Hun tactieken blijven evolueren en zolang ze nieuwe manieren blijven vinden om het menselijk vertrouwen uit te buiten, zullen ze een formidabele bedreiging blijven.
De Europese drone-aanvallen zijn slechts de laatste herinnering dat in de wereld van cyberoorlogsvoering het gevaarlijkste wapen geen raket of drone is, maar een goed opgestelde e-mail die in de juiste inbox belandt.