Открыл резюме — слил чертежи дрона. Как хакеры Lazarus охотятся на секреты европейских БПЛА

Хакерская группировка Lazarus снова дала о себе знать — на этот раз её целью стали европейские оборонные компании, занимающиеся разработкой беспилотников. По данным ESET, активность хакеров укладывается в рамки кампании DreamJob, которая связана с КНДР и регулярно использует поддельные предложения работы как способ заражения жертв вредоносным ПО.

На этот раз пострадали три предприятия из Центральной и Юго-Восточной Европы, включая производителя деталей для беспилотных летательных аппаратов и компанию, создающую ПО для дронов. Вход в инфраструктуру был получен через вредоносные PDF-читалки, которые предлагались вместе с описанием вакансий.

Основным инструментом в этой волне атак вновь использовался удалённый троян ScoringMathTea, ранее применявшийся в аналогичных операциях. Вредонос обеспечивал полный контроль над заражённым устройством, включая удалённое выполнение команд, кражу данных и загрузку дополнительных модулей. Управляющие серверы располагались в каталогах WordPress на скомпрометированных сайтах. Особенность обнаруженных образцов — упоминание слова «drone» в имени одной из библиотек, что, по мнению аналитиков, напрямую указывает на приоритетный интерес к технологиям беспилотников.

Всё происходящее, по оценке ESET, вполне вписывается в геополитический контекст, но не исключено, что целью была не только разведка, но и получение сведений, которые помогут Пхеньяну продвинуть собственные БПЛА. На этом фоне интерес Lazarus к западным инженерным наработкам вполне логичен: по данным открытых источников, текущие модели дронов Северной Кореи внешне копируют американские аппараты RQ-4 Global Hawk и MQ-9 Reaper.

С технической стороны, кампания 2025 года отличалась обновлённым набором вредоносных инструментов. Помимо уже известных компонентов вроде ScoringMathTea, использовались заражённые версии библиотек libpcre, TightVNC, плагинов WinMerge и Notepad++, а также вредоносный загрузчик QuanPinLoader, маскирующийся под библиотеку DirectInput.

В качестве механизма внедрения широко применялась техника DLL proxying: вредоносные библиотеки содержали как оригинальные экспортируемые функции, так и собственный вредоносный код.

Интересно, что все вредоносные компоненты распространялись через троянизированные open source проекты с GitHub, подобранные индивидуально под каждую атаку. Один из дропperов был замаскирован под библиотеку webservices.dll от Windows и имел внутреннее имя DroneEXEHijackingLoader.dll, что дополнительно подтверждает фокус группы на теме БПЛА.

Сценарий заражения оставался прежним: жертве отправлялось письмо с описанием якобы престижной вакансии и вложением, при открытии которого запускалась цепочка загрузчиков. В одном из таких случаев из Италии были загружены вредоносные версии PDF-читалки MuPDF, плагинов для Notepad++ и даже компонентов от Microsoft. Финальной целью всегда оставался ScoringMathTea, который, по данным ESET, применяется в аналогичных атаках как минимум с 2022 года, включая случаи в Индии, Польше, Великобритании и Италии.

Несмотря на узнаваемую тактику и публичность предыдущих атак, Lazarus продолжает добиваться успеха за счёт умеренной вариативности, технической эволюции инструментов и недостаточной осведомлённости сотрудников в чувствительных отраслях. В условиях, когда КНДР наращивает производство дронов и явно заинтересована в экспорте военных технологий, можно ожидать, что кибершпионаж в этом секторе будет лишь усиливаться.