Abrir un currículum bastó para que se filtraran los planos de un dron: cómo el grupo Lazarus caza los secretos de los drones europeos

El grupo de hackers Lazarus se ha vuelto a hacer notar: en esta ocasión tenía como objetivo empresas europeas de defensa dedicadas al desarrollo de drones. Según ESET, la actividad de los atacantes encaja en la campaña DreamJob, vinculada a Corea del Norte y que utiliza regularmente ofertas de empleo falsas como método para infectar a las víctimas con malware.

En esta ocasión resultaron afectadas tres empresas de Europa Central y del Sudeste de Europa, incluida una fabricante de piezas para aeronaves no tripuladas y una compañía que desarrolla software para drones. El acceso a la infraestructura se obtuvo a través de lectores de PDF maliciosos que se ofrecían junto con las descripciones de las vacantes.

La herramienta principal en esta oleada de ataques volvió a ser el troyano remoto ScoringMathTea, ya empleado anteriormente en operaciones similares. El malware permitía el control total del dispositivo infectado, incluida la ejecución remota de comandos, el robo de datos y la descarga de módulos adicionales. Los servidores de mando y control se alojaban en directorios de WordPress en sitios comprometidos. Una característica de las muestras detectadas es la mención de la palabra «drone» en el nombre de una de las bibliotecas, lo que, según los analistas, indica un interés directo en las tecnologías de drones.

Todo lo ocurrido, según ESET, encaja en el contexto geopolítico, aunque no se descarta que el objetivo no fuera solo la inteligencia, sino también obtener información que ayude a Pyongyang a impulsar sus propios drones. En ese contexto, el interés de Lazarus por los avances de ingeniería occidentales resulta lógico: según fuentes abiertas, los modelos actuales de drones de Corea del Norte copian exteriormente a los aparatos estadounidenses RQ-4 Global Hawk y MQ-9 Reaper.

Desde el punto de vista técnico, la campaña de 2025 se caracterizó por un conjunto actualizado de herramientas maliciosas. Además de componentes ya conocidos como ScoringMathTea, se utilizaron versiones troyanizadas de bibliotecas libpcre, TightVNC, plugins de WinMerge y Notepad++, así como un cargador malicioso QuanPinLoader que se hacía pasar por la biblioteca DirectInput.

Como mecanismo de implantación se empleó ampliamente la técnica de DLL proxying: las bibliotecas maliciosas contenían tanto las funciones exportadas originales como su propio código malicioso.

Es interesante que todos los componentes maliciosos se distribuyeran a través de proyectos de código abierto troyanizados en GitHub, seleccionados de forma individual para cada ataque. Uno de los droppers estaba disfrazado como la biblioteca webservices.dll de Windows y tenía el nombre interno DroneEXEHijackingLoader.dll, lo que confirma además el enfoque del grupo en la temática de los drones.

El escenario de infección se mantuvo igual: a la víctima se le enviaba un correo con la descripción de una supuesta vacante prestigiosa y un adjunto que, al abrirse, iniciaba una cadena de cargadores. En uno de esos episodios desde Italia se descargaron versiones maliciosas del lector de PDF MuPDF, plugins para Notepad++ e incluso componentes de Microsoft. El objetivo final siempre era ScoringMathTea, que, según ESET, se viene empleando en ataques similares al menos desde 2022, incluidos casos en India, Polonia, Reino Unido e Italia.

A pesar de la táctica reconocible y de la publicidad de ataques anteriores, Lazarus sigue cosechando éxitos gracias a una variabilidad moderada, a la evolución técnica de las herramientas y a la escasa concienciación del personal en sectores sensibles. En un contexto en el que Corea del Norte aumenta la producción de drones y muestra un claro interés en la exportación de tecnología militar, es de esperar que el ciberespionaje en este sector solo se intensifique.