Các nhà nghiên cứu của ESET đã phát hiện một chiến dịch gián điệp mạng tinh vi nhằm vào các công ty quốc phòng châu Âu chuyên về công nghệ máy bay không người lái (UAV). Cuộc tấn công mạng này được cho là do nhóm Lazarus, có liên kết với Triều Tiên, thực hiện dưới tên gọi Operation DreamJob.

Chiến dịch được phối hợp để đánh cắp dữ liệu độc quyền về sản xuất và thông số kỹ thuật thiết kế từ các đơn vị chủ chốt trong ngành công nghiệp máy bay không người lái.

Mục tiêu và Phạm vi Xâm Nhập Mạng

Chiến dịch bắt đầu vào cuối tháng 3 năm 2025, đã nhắm mục tiêu thành công ít nhất ba nhà thầu quốc phòng châu Âu tại khu vực Đông Nam và Trung Âu. Trong số các thực thể bị xâm phạm có một công ty kỹ thuật kim loại, một nhà sản xuất linh kiện máy bay và một công ty quốc phòng chuyên biệt, tất cả đều có liên quan đáng kể đến phát triển và sản xuất UAV.

Hoạt động này đánh dấu một sự phát triển đáng kể trong năng lực không gian mạng của Triều Tiên, thể hiện cách tiếp cận ngày càng nhắm mục tiêu vào các lĩnh vực công nghệ cụ thể quan trọng cho nỗ lực hiện đại hóa quân sự của họ.

Phương pháp Tấn công Social Engineering

Operation DreamJob đã trở thành chiến thuật tấn công ưa thích của Lazarus: lừa đảo kỹ thuật xã hội dưới dạng các cơ hội việc làm danh giá. Chiến dịch này, lần đầu tiên được các nhà nghiên cứu bảo mật ClearSky xác định vào năm 2020, lợi dụng sức hấp dẫn phổ quát của các lời mời làm việc cấp cao để xâm nhập các tổ chức mục tiêu.

Trong lần lặp lại mới nhất này, các nạn nhân đã nhận được các tài liệu mồi nhử được tạo tác chuyên nghiệp chứa mô tả công việc, đi kèm với các trình đọc PDF bị trojan hóa. Đây là một cách tiếp cận kép được thiết kế để thiết lập quyền truy cập ban đầu trong khi vẫn duy trì vẻ hợp pháp.

Kỹ thuật và Công cụ Khai thác

Những kẻ tấn công đã thể hiện sự tinh vi kỹ thuật đáng kể bằng cách kết hợp các quy trình tải độc hại vào các dự án mã nguồn mở lấy từ GitHub.

Cụ thể, BinMergeLoader đã tận dụng Microsoft Graph API và sử dụng Microsoft API tokens để xác thực. Trong suốt năm 2025, chiến dịch đã sử dụng các phiên bản bị trojan hóa của TightVNC Viewer, trình đọc MuPDF và các công cụ dành cho nhà phát triển phổ biến bao gồm plugin WinMerge và tiện ích mở rộng Notepad++.

Các thành phần mã độc và công cụ khai thác

Các thành phần và công cụ khai thác chính được xác định trong chiến dịch này bao gồm:

• Các phiên bản bị trojan hóa của TightVNC Viewer.
• Các phiên bản bị trojan hóa của trình đọc MuPDF.
• Các phiên bản bị trojan hóa của plugin WinMerge.
• Các phiên bản bị trojan hóa của tiện ích mở rộng Notepad++.
• BinMergeLoader (tận dụng Microsoft Graph API).
• DLL độc hại: DroneEXEHijackingLoader.dll.
• RAT chính: ScoringMathTea.

Một chỉ số đặc biệt tiết lộ là một dropper chứa tên DLL nội bộ “DroneEXEHijackingLoader.dll” – một tham chiếu trực tiếp cho thấy trọng tâm rõ ràng của chiến dịch là đánh cắp tài sản trí tuệ liên quan đến UAV.

Động cơ và Bối cảnh Địa chính trị

Thời điểm và mục tiêu của hoạt động này hoàn toàn phù hợp với sự mở rộng được ghi nhận của năng lực sản xuất máy bay không người lái nội địa của Triều Tiên. Chúng tôi tin rằng chuỗi ký tự drone ở đó để chỉ định cả thiết bị UAV và tên chiến dịch nội bộ của kẻ tấn công.

Thông tin tình báo gần đây chỉ ra rằng Bình Nhưỡng đang đầu tư mạnh vào việc phát triển các hệ thống UAV tiên tiến, bao gồm các nền tảng trinh sát như Saetbyol-4 và máy bay không người lái chiến đấu như Saetbyol-9. Những máy bay này có nhiều điểm tương đồng với các đối tác của Mỹ – lần lượt là RQ-4 Global Hawk và MQ-9 Reaper – cho thấy sự phụ thuộc lớn vào kỹ thuật đảo ngược và việc mua lại tài sản trí tuệ.

Các yếu tố địa chính trị làm rõ thêm bối cảnh của các cuộc tấn công mạng này. Vào thời điểm hoạt động của Operation DreamJob được quan sát vào năm 2025, quân đội Triều Tiên đã được triển khai cùng với lực lượng Nga ở Ukraine, mang lại kinh nghiệm thực tế về thiết bị quân sự phương Tây, bao gồm chính các hệ thống UAV được sản xuất bởi các công ty mục tiêu.

Kinh nghiệm chiến trường này có thể đã thúc đẩy các nỗ lực nhằm có được các thông số kỹ thuật chi tiết và quy trình sản xuất cho các hệ thống hiện đang được triển khai trong các khu vực xung đột tích cực. Điều này làm tăng thêm nguy cơ rò rỉ dữ liệu nhạy cảm.

Mã độc Chính: ScoringMathTea RAT

Mã độc chính được triển khai trong tất cả các cuộc tấn công mạng được quan sát là ScoringMathTea, một trojan truy cập từ xa (RAT) đã đóng vai trò là payload chủ lực của Lazarus cho các chiến dịch Operation DreamJob kể từ cuối năm 2022. RAT tinh vi này hỗ trợ khoảng 40 lệnh riêng biệt, cho phép kẻ tấn công thực hiện các hành vi sau:

• Thao tác tệp.
• Thực thi mã tùy ý (remote code execution).
• Thu thập thông tin hệ thống.
• Duy trì kết nối command-and-control (C2) liên tục thông qua các máy chủ bị xâm phạm được ngụy trang thành nền tảng lưu trữ WordPress.

Tác động và Khuyến nghị Phòng ngừa

Chiến dịch nhấn mạnh một lỗ hổng nghiêm trọng trong các lĩnh vực công nghệ nhạy cảm: nhận thức của nhân viên về các mối đe dọa kỹ thuật xã hội vẫn chưa đủ mặc dù đã có nhiều thông tin trên truyền thông về các chiến thuật của Operation DreamJob. Sự thành công liên tục của các chiến dịch này cho thấy các tổ chức mục tiêu tiếp tục gặp khó khăn trong việc triển khai các quy trình xác minh tuyển dụng mạnh mẽ và các chương trình nâng cao nhận thức bảo mật cho nhân viên.

Đối với các công ty phát triển công nghệ UAV, chiến dịch này đại diện cho một mối đe dọa mạng trực tiếp đối với lợi thế cạnh tranh và năng lực quân sự. Khi Triều Tiên đẩy nhanh việc mở rộng chương trình máy bay không người lái và được cho là bắt đầu xây dựng các cơ sở sản xuất UAV chuyên dụng, áp lực đối với các nhà thầu quốc phòng phương Tây để tăng cường tư thế an ninh mạng của họ ngày càng trở nên cấp bách.

Các tổ chức trong các lĩnh vực hàng không vũ trụ, kỹ thuật và quốc phòng phải ưu tiên xác minh thông tin liên lạc tuyển dụng và triển khai các hệ thống phát hiện điểm cuối (EDR) tiên tiến có khả năng xác định các ứng dụng bị trojan hóa và các kỹ thuật tải DLL độc hại (malicious DLL side-loading) đặc trưng của các chiến dịch Operation DreamJob. Để biết thêm chi tiết về chiến dịch này, có thể tham khảo báo cáo chuyên sâu của ESET tại welivesecurity.com.