Uma campanha de espionagem cibernética recém-descoberta revelou até onde os hackers patrocinados pelo Estado da Coreia do Norte estão dispostos a ir para roubar segredos militares. Pesquisadores confirmaram que o Grupo, uma organização de hackers ligada aos serviços de inteligência de Pyongyang, atacou várias empresas de defesa em toda a Lazarus Europa no início de 2025.
A operação, que os especialistas em segurança cibernética apelidaram de Operação DreamJob, concentrou-se em empresas envolvidas no desenvolvimento de veículos aéreos não tripulados (UAVs), componentes de drones e tecnologias aeroespaciais. Estas não foram vítimas aleatórias. Eles estavam profundamente integrados à cadeia de suprimentos de defesa europeia, incluindo empresas que fornecem equipamentos e software usados em operações militares em andamento.
De acordo com a empresa ESET de segurança , o principal objetivo dos hackers era roubar projetos proprietários, projetos de sistemas e documentação técnica que pudessem ajudar a Coreia do Norte a avançar em seus próprios programas de armas.
Em vez de usar ataques de força bruta ou explorar vulnerabilidades de software conhecidas para entrar, o Grupo contou com algo muito mais eficaz, que é engenharia Lazarus social.
Os investigadores descobriram que os invasores se passaram por recrutadores de empresas conhecidas de defesa e tecnologia. Eles enviaram o que pareciam ser ofertas de emprego legítimas, muitas vezes para cargos de engenharia ou desenvolvimento de alto nível. Essas mensagens incluíam arquivos anexados disfarçados de descrições de cargos ou documentos técnicos inofensivos.
Na realidade, os acessórios foram transformados em armas. As vítimas que abriram os documentos sem saber executaram arquivos trojanizados projetados para instalar malware em seus sistemas. Os hackers usaram uma técnica sofisticada conhecida como sideload de DLL, que permitia que códigos maliciosos fossem executados junto com softwares legítimos. Essa abordagem ajudou o malware a evitar a detecção por ferramentas antivírus.
Depois que o arquivo infectado foi aberto, um carregador personalizado implantou silenciosamente uma ferramenta de acesso remoto (RAT) chamada ScoringMathTea, dando aos hackers controle total do computador comprometido. A partir daí, Lazarus os agentes podiam espionar comunicações internas, copiar arquivos e explorar sistemas conectados em toda a rede da empresa.
Em alguns casos, outra variante conhecida como BinMergeLoader foi usada para extrair cargas adicionais da nuvem usando a API do Graph da Microsoft, misturando-se perfeitamente ao tráfego normal e tornando ainda mais difícil para os investigadores rastrearem.
Os drones eram o alvo perfeito
A escolha das vítimas não foi aleatória. Nos últimos anos, os drones se tornaram uma característica definidora da guerra e vigilância modernas. Para países como a Coreia do Norte, o acesso à tecnologia de drones ocidental é uma grande vantagem estratégica.
Ao violar empreiteiros de defesa europeus, Lazarus provavelmente visava coletar informações sobre sistemas de controle de drones, algoritmos de segmentação e processos de fabricação. Essas informações podem ajudar Pyongyang a replicar ou adaptar tecnologias semelhantes internamente.
Acredita-se que pelo menos uma das empresas visadas tenha fornecido peças ou software usado em UAVs implantados na Ucrânia. Para a Coreia do Norte, que vem expandindo seu próprio programa de drones e supostamente forneceu apoio de armas à Rússia, roubar esse tipo de informação técnica serve a propósitos militares e políticos.
Especialistas dizem que os dados roubados também podem ajudar a Coreia do Norte a fortalecer seus programas de guerra cibernética e mísseis, áreas onde a inovação tecnológica há muito é limitada por sanções internacionais.
A análise da ESET revelou que a Lazarus operação começou por volta de março de 2025 e ainda estava ativa meses depois. Três empresas confirmadas, localizadas na Europa Central e no Sudeste, foram comprometidas ou visadas.
Os hackers demonstraram paciência e profissionalismo. Eles não tentaram destruir dados ou manter sistemas para resgate. Em vez disso, eles se moveram silenciosamente, buscando acesso e informações que poderiam ser valiosas a longo prazo.
Embora os detalhes específicos do roubo de dados não tenham sido divulgados, os pesquisadores confirmaram que Lazarus se infiltraram com sucesso em pelo menos uma rede, exfiltrando arquivos de design confidenciais e comunicações internas.
Os investigadores também observaram que as ferramentas usadas nesta campanha se assemelhavam às de operações anteriores Lazarus . O grupo geralmente reutiliza código e infraestrutura, ajustando-os para evitar a detecção. Essa continuidade, combinada com assinaturas exclusivas de malware e servidores de comando e controle, ajudou os pesquisadores a atribuir a campanha com Lazarus alta confiança.
Lazarus tem sido associado a alguns dos incidentes cibernéticos de maior destaque no mundo
Este incidente se encaixa em um padrão mais amplo de dependência da Coreia do Norte na espionagem cibernética para contornar as sanções internacionais. Incapaz de importar tecnologia avançada por meios legítimos, o país transformou o hacking em um canal alternativo de pesquisa e receita.
Na última década, Lazarus foi associado a alguns dos incidentes cibernéticos de maior destaque no mundo, desde o hack da Sony Pictures em 2014 até o surto de ransomware WannaCry em 2017 e, mais recentemente, to massive cryptocurrency thefts worth billions of dollars . A capacidade do grupo de mudar de crimes financeiros para espionagem direcionada demonstra sua flexibilidade e apoio do Estado profundo.
Especialistas dizem que Lazarus não é apenas um sindicato criminoso, mas uma operação híbrida que serve tanto ao aparato de inteligência do governo norte-coreano quanto à sua necessidade de moeda forte. A operação europeia de drones mostra que sua missão evoluiu da geração de fundos para o apoio direto a objetivos militares e estratégicos.
As pessoas costumam ser o elo mais fraco
A Lazarus campanha oferece um lembrete gritante de que, no cenário atual de segurança cibernética, as pessoas costumam ser o elo mais fraco. Mesmo os empreiteiros de defesa mais avançados podem ser vítimas quando os invasores exploram a confiança em vez da tecnologia.
Empresas em setores sensíveis (por exemplo, aeroespacial, defesa, energia) agora devem assumir que são alvos potenciais de hackers apoiados pelo Estado. Isso significa reforçar as defesas técnicas e a conscientização dos funcionários.
Golpes relacionados ao recrutamento, como os Lazarus usados, estão se tornando mais comuns. As organizações devem verificar todas as ofertas de emprego ou parceria não solicitadas, aplicar controles rígidos de apego e treinar a equipe para reconhecer táticas de engenharia social. A autenticação multifator e a segmentação de rede podem limitar os danos se ocorrer uma violação.
Igualmente importante é o monitoramento das cadeias de suprimentos de software. Lazarus O uso do sideload de DLL pela mostra como os invasores abusam de software legítimo para entregar malware. Verificações regulares de integridade de código e processos de verificação de software podem ajudar a detectar essa adulteração antes que ela atinja os dispositivos dos funcionários.
Para as empresas de defesa europeias, esta campanha é um aviso de que as fronteiras nacionais oferecem pouca proteção contra a ciberespionagem. Os invasores com recursos governamentais e objetivos de longo prazo são pacientes e deliberados. Eles não estão atrás de recompensas rápidas, mas de vantagens estratégicas.
Para a Coreia do Norte, a campanha destaca como as operações cibernéticas se tornaram parte integrante de sua política nacional. Ao roubar em vez de desenvolver tecnologia, o regime pode fechar a lacuna entre ele e as nações mais avançadas, mesmo sob sanções.
O Lazarus sucesso contínuo do Grupo também expõe uma realidade preocupante. Apesar de anos de exposição e rastreamento, eles continuam sendo um dos coletivos de hackers mais persistentes e adaptáveis do mundo. Suas táticas continuam a evoluir e, enquanto continuarem encontrando novas maneiras de explorar a confiança humana, continuarão sendo uma ameaça formidável.
Os ataques de drones europeus são apenas o mais recente lembrete de que, no mundo da guerra cibernética, a arma mais perigosa não é um míssil ou um drone, é um e-mail bem elaborado que chega à caixa de entrada certa.