Kim Jong-un necesita drones, preferiblemente con planos y gratis.
¿Por qué reinventar la «bicicleta» si puedes copiarla? Breve historia de la «sustitución de importaciones» en Corea del Norte
El grupo de hackers norcoreano Lazarus ha desplegado una extensa operación de ciberespionaje contra fabricantes europeos de vehículos aéreos no tripulados. Según el equipo de ESET, los ataques se dirigieron a empresas relacionadas con el desarrollo y la producción de tecnologías para aeronaves no tripuladas. Al menos tres compañías en Europa Central y Sudeste fueron afectadas, entre ellas un fabricante de componentes aeronáuticos, una empresa metalúrgica y un contratista de defensa especializado.
El ataque constituye una nueva fase de la operación conocida desde hace tiempo como DreamJob, en la que integrantes de Lazarus envían ofertas de empleo falsas en nombre de grandes corporaciones. Junto con las descripciones de las vacantes, a las víctimas se les envían lectores de PDF maliciosos que, al abrirlos, instalan software espía. A pesar de la intensiva formación del personal en buenas prácticas de higiene digital, la técnica sigue siendo eficaz.
En los ataques se utiliza todo un arsenal de herramientas maliciosas, incluido el troyano ScoringMathTea, empleado activamente por Lazarus desde 2022. Este programa soporta alrededor de 40 comandos y permite a los atacantes gestionar archivos y procesos, recopilar información del sistema, conectarse a servidores remotos y ejecutar archivos descargados. Junto a él se emplean otros programas maliciosos, entre ellos BinMergeLoader, que utiliza la infraestructura de Microsoft Graph API para enmascarar la actividad.
Para eludir los sistemas de defensa, el grupo inserta código malicioso en proyectos legítimos de código abierto. Durante el citado ataque se comprometieron utilidades como TightVNC Viewer, MuPDF y complementos para Notepad++ y WinMerge. En una de las muestras de código encontradas por los analistas aparecía el nombre "DroneEXEHijackingLoader.dll", lo que indica una conexión directa con el robo de tecnologías para vehículos aéreos no tripulados.
También se comprobó que la comunicación con los servidores de mando y control se realiza a través de sitios de WordPress comprometidos, donde los módulos maliciosos se colocan en las carpetas de temas y plugins. Lazarus perfecciona activamente sus métodos, añadiendo nuevas bibliotecas proxy y mejorando la selección de programas en los que infiltrar componentes maliciosos.
El análisis de los objetivos de la campaña muestra que a los atacantes les interesan los planos, los procesos de fabricación y las soluciones técnicas en el ámbito de los vehículos aéreos no tripulados. Una de las empresas atacadas, según ESET, participa en la producción de componentes utilizados en drones implicados en conflictos globales.
Además, la empresa comprometida desarrolla tecnologías para helicópteros no tripulados de rotor único —un área que Pionyang está explorando activamente, aunque hasta ahora sin resultados militares destacados. Todos estos hechos apuntan a intentos de adquirir conocimientos que faltan y a acelerar sus propios programas de defensa.
Corea del Norte presentó previamente el dron de reconocimiento Saetbyol-4, casi idéntico al estadounidense RQ-4 Global Hawk, y el de ataque Saetbyol-9, que recuerda al MQ-9 Reaper. Tales similitudes confirman el uso de la ingeniería inversa y el robo de tecnologías como la principal vía para el desarrollo de la aviación militar de Corea del Norte.
Sobre la base de los métodos empleados, las herramientas maliciosas y la selección de objetivos, los especialistas de ESET vinculan con confianza la campaña al grupo Lazarus. Esta organización, conocida desde 2009, está detrás de una serie de ciberataques sonados, como el hackeo a Sony Pictures, la epidemia del ransomware WannaCry y ataques contra la infraestructura de Corea del Sur.