يقوم قراصنة كوريا الشمالية بإغراء مهندسي الدفاع بوظائف وهمية لسرقة أسرار الطائرات بدون طيار
يُعزى التهديد إلى الجهات الفاعلة التي لها علاقات مع كوريا الشمالية إلى موجة جديدة من الهجمات التي استهدفت الشركات الأوروبية النشطة في صناعة الدفاع كجزء من حملة طويلة الأمد تُعرف باسم عملية حلم الوظيفة.
“بعض هؤلاء [companies] “إنهم متورطون بشكل كبير في قطاع المركبات الجوية بدون طيار (UAV)، مما يشير إلى أن العملية قد تكون مرتبطة بالجهود الحالية التي تبذلها كوريا الشمالية لتوسيع نطاق برنامج الطائرات بدون طيار،” الباحثان الأمنيان في شركة ESET، بيتر كالناي وأليكسيس رابين. قال في تقرير تمت مشاركته مع The Hacker News.
من المقدر أن الهدف النهائي للحملة هو نهب معلومات الملكية ومعرفة التصنيع باستخدام عائلات البرامج الضارة مثل ScoringMathTea وMISTPEN. وقالت شركة الأمن السيبراني السلوفاكية إنها لاحظت الحملة التي بدأت في أواخر مارس 2025.
وتشمل بعض الكيانات المستهدفة شركة هندسة معدنية في جنوب شرق أوروبا، وشركة مصنعة لمكونات الطائرات في أوروبا الوسطى، وشركة دفاع في أوروبا الوسطى.
بينما لاحظت شركة ESET سابقًا ScoringMathTea (المعروف أيضًا باسم ForestTiger) في أوائل عام 2023 فيما يتعلق بالهجمات السيبرانية التي استهدفت شركة تكنولوجيا هندية ومقاول دفاع في بولندا، تم توثيق MISTPEN بواسطة Google Mandiant في سبتمبر 2024 كجزء من عمليات التطفل التي تستهدف الشركات في قطاعات الطاقة والفضاء. يعود أول ظهور لبرنامج ScoringMathTea إلى أكتوبر 2022.
عملية Dream Job، التي كشفت عنها شركة الأمن السيبراني الإسرائيلية ClearSky لأول مرة في عام 2020، هي حملة هجومية مستمرة شنتها مجموعة قرصنة كورية شمالية غزيرة الإنتاج يطلق عليها اسم Lazarus Group، والتي يتم تعقبها أيضًا باسم APT-Q-1، وBlack Artemis، وDiamond Sleet (المعروفة سابقًا باسم Zinc)، وHidden Cobra، وTEMP.Hermit، وUNC2970. ويعتقد أن مجموعة القرصنة تعمل منذ عام 2009 على الأقل.
في هذه الهجمات، تستفيد الجهات الفاعلة في مجال التهديد من إغراءات الهندسة الاجتماعية المشابهة للمقابلة المعدية للاقتراب من الأهداف المحتملة بفرص عمل مربحة وخداعهم لإصابة أنظمتهم بالبرامج الضارة. تعرض الحملة أيضًا تداخلات مع مجموعات تم تتبعها مثل DeathNote وNukeSped وOperation In(ter)ception وOperation North Star.
قال باحثو شركة ESET: “الموضوع السائد هو عرض عمل مربح ولكنه مزيف مع جانب من البرامج الضارة: يتلقى الهدف مستندًا خادعًا يحتوي على وصف وظيفي وقارئ PDF مصاب بفيروس طروادة لفتحه”.
تؤدي سلسلة الهجوم إلى تنفيذ برنامج ثنائي، وهو المسؤول عن التحميل الجانبي لملف DLL ضار يسقط ScoringMathTea بالإضافة إلى برنامج تنزيل متطور يحمل الاسم الرمزي BinMergeLoader، والذي يعمل بشكل مشابه لـ MISTPEN ويستخدم Microsoft Graph API والرموز المميزة لجلب حمولات إضافية.
تم اكتشاف أن تسلسلات العدوى البديلة تستفيد من قطارة غير معروفة لتوصيل حمولتين مؤقتتين، تقوم الأولى بتحميل الأخيرة، مما يؤدي في النهاية إلى نشر ScoringMathTea، وهو RAT متقدم يدعم حوالي 40 أمرًا للتحكم الكامل في الأجهزة المخترقة.
وقالت شركة ESET: “على مدى ما يقرب من ثلاث سنوات، حافظت Lazarus على طريقة عمل متسقة، حيث نشرت حمولتها الرئيسية المفضلة، ScoringMathTea، واستخدمت أساليب مماثلة لبرمجة طروادة للتطبيقات مفتوحة المصدر”. “توفر هذه الإستراتيجية التي يمكن التنبؤ بها، لكنها فعالة، تعددًا كافيًا للتهرب من الكشف الأمني، حتى لو لم تكن كافية لإخفاء هوية المجموعة وإخفاء عملية الإسناد.”
