ESET deckt neue Lazarus-Kampagne auf: Cyberkriminelle spionieren Daten für eigene Drohnenindustrie aus. Ihr Ziel sind sensible Daten und Expertise, mutmass lich um die eigene Forschung und Produktion voranzutreiben.
Forscher des europäischen IT-Sicherheitsherstellers ESET fanden heraus: Hacker mit Verbindungen nach Nordkorea haben Europas Drohnenindustrie seit März 2025 stark im Fokus. Die Cyberkriminellen der Lazarus-Gruppe haben es vorrangig auf sensibles technisches Knowhow abgesehen, um damit militärische Geheimnisse zu stehlen. Die Kampagne „DreamJob“, so der Name, unter dem die Forscher die Aktionen zusammenfassen, nutzt ausgeklügelte Social-Engineering-Methoden, um sich Zugang zu vertraulichen Daten zu verschaffen.
Die Bedeutung von Drohnen ist besonders im militärischen Kontext in den letzten Jahren gewachsen, nicht zuletzt wegen des Ukrainekonflikts. Insbesondere Europa und die USA bauen ihre Kapazitäten aus, um für künftige Szenarien gerüstet zu sein. Aber auch Staaten wie Nordkorea haben großes Interesse, an entsprechende Technologien zu gelangen – im Zweifel mit unlauteren Mitteln. Indem die Angreifer auf täuschend echte Jobangebote für hochrangige Positionen setzen, schleusen sie manipulierte Dateien in Unternehmensnetzwerke ein. Besonders betroffen sind Firmen, die Komponenten und Software für UAVs (Unmanned Aerial Vehicles) entwickeln – darunter auch Systeme, die aktuell in der Ukraine eingesetzt werden.
ESET warnt: Drohnenbranche im Visier
„Die gezielten Angriffe auf europäische Unternehmen zeigen einmal mehr, wie eng Cyberkriminalität und geopolitische Interessen miteinander verknüpft sind“, so Peter Kalnai, Sicherheitsforscher bei ESET. „Wenn staatlich gelenkte Hackergruppen wie Lazarus auf Drohnentechnologie aus Europa abzielen, geht es nicht nur um Daten – sondern um strategische Vorteile auf dem Schlachtfeld.
Die Angriffe zeigen deutlich, dass Nordkorea wahrscheinlich gezielt Know-how aus der europäischen Drohnenindustrie abgreifen will. Unternehmen in diesem Sektor sollten ihre Sicherheitsmassnahmen dringen überprüfen.»
Die ESET Experten empfehlen, besonders bei Jobangeboten für hochrangige Positionen wachsam zu sein. Denn Social Engineering bleibt eine der effektivsten Methoden für Cyberangriffe.
Technik aus Europa für Drohnen aus Nordkorea?
Die aktuelle Angriffswelle der Lazarus-Gruppe fällt in eine Zeit wachsender geopolitischer Spannungen. Die betroffenen Unternehmen liefern Komponenten für militärische Systeme, die unter anderem in der Ukraine eingesetzt werden. Darüber hinaus kämpften auch nordkoreanische Soldaten seit Ende 2024 in der Ukraine und sahen sich dort massiven Drohnenangriffen ausgesetzt, bevor sie Anfang 2025 wieder abgezogen wurden. Ihre Erfahrungsberichte können einer der Gründe sein, warum die militärische Führung in Nordkorea noch stärker in die eigene Drohnenproduktion investiert und sie hochfährt.
Zugleich mangelt es dem isolierten Land an technischer Expertise, weswegen es westliche Drohnenhersteller ausspioniert und kopiert. Die Angriffe innerhalb von Operation DreamJob sind somit nicht nur ein Fall von Industriespionage, sondern Teil eines größeren geopolitischen Spiels, in dem digitale Angriffe zur Waffe werden.
Trojanisierte Open-Source-Software als Einfallstor
Die Lazarus-Gruppe nutzt eine besonders hinterlistige Methode: Sie tarnen sich mit gefälschten Jobangeboten für attraktive Positionen in der Luftfahrt- und Verteidigungsbranche. Wer auf das Angebot reagiert, erhält manipulierte Dateien, zum Beispiel scheinbar harmlose PDF-Dokumente oder Software-Plugins. Diese enthalten versteckte Schadprogramme, die sich unbemerkt auf dem Rechner installieren.
Hierfür greifen die Hacker auf Plugins für bekannte Open-Source-Projekte zurück, die sie heimlich verändern. So schleusen sie ihre Schadsoftware über Programme wie Notepad++ oder WinMerge ein. Das eigentliche Schadprogramm, der Remote-Access-Trojaner (RAT) ScoringMathTea, bleibt unsichtbar auf der Festplatte. Besonders brisant: Eine Komponente trägt den internen Namen DroneEXEHijackingLoader.dll. Das ist ein klarer Hinweis auf das Ziel der Kampagne.
Das ist über die Hacker bekannt
Die nordkoreanische Hackergruppe Lazarus (Guardians of Peace oder auch APT38) gehört zu den wohl bekanntesten und auch gefährlichsten Gruppen der Welt. Ihren Namen verdankt sie der Tatsache, dass sie immer wieder aktiv wird, selbst wenn sie scheinbar besiegt wurde – so wie ihr biblischer Namensgeber.
In der jüngeren Vergangenheit waren europäische Unternehmen aus der Luft- und Raumfahrt Opfer gezielter Spionagekampagnen aus Nordkorea. Bereits 2023 griff Lazarus ein Luft- und Raumfahrtunternehmen in Spanien an, um Cyberspionage zu betreiben.
Weitere Infos im aktuellen Blogpost der EST: Drohn-Gebärden aus Nordkorea: Lazarus greift europäische UAV-Hersteller an |
