Кибершпионаж в оборонной сфере: группа Lazarus атакует производителей беспилотников в Европе

APT-группа Lazarus, также известная как HIDDEN COBRA, использует в новой волне атак усовершенствованные методы социальной инженерии. Жертвам рассылаются поддельные предложения о работе в престижных компаниях, сопровождаемые вредоносными файлами. Для открытия документа-приманки предлагается использовать троянизированную версию PDF-ридера, созданную на базе открытого проекта MuPDF.

Основным полезным нагрузкой во всех наблюдаемых случаях стал бэкдор ScoringMathTea, представляющий собой RAT (Remote Access Trojan - троян удаленного доступа), который предоставляет злоумышленникам полный контроль над зараженной системой. Этот инструмент используется Lazarus с конца 2022 года и стал характерным признаком кампаний Operation DreamJob. Особенностью текущей атаки стало использование загрузчика с внутренним именем DroneEXEHijackingLoader.dll, что прямо указывает на интерес к беспилотным технологиям.

Геополитический контекст атаки тесно связан с текущими событиями. Целевые организации производят военное оборудование, которое поставляется в Украину в рамках помощи европейских стран. В то же время северокорейские военные, по сообщениям СМИ, были замечены в России, где могли ознакомиться с западными образцами вооружения. Это позволяет предположить, что целью кибершпионажа мог стать сбор информации о системах вооружения, используемых в конфликте.

Интерес Пхеньяна к беспилотным технологиям подтверждается открытыми источниками. Северокорейские дроны-разведчики Saetbyol‑4 визуально копируют американский RQ‑4 Global Hawk, а многоцелевой боевой БПЛА Saetbyol‑9 напоминает MQ‑9 Reaper. Кибершпионаж становится для КНДР инструментом обратного инжиниринга, позволяющим воспроизводить западные технологии. Сообщается, что Северная Корея при поддержке России создает собственную версию иранского дрона-камикадзе Shahed и работает над дешевыми ударными БПЛА для экспорта.

Технический анализ показал, что Lazarus продолжает совершенствовать свои инструменты. В 2025 году группа начала использовать новые библиотеки для DLL-проксирования и выбрала для троянизации менее известные открытые проекты, включая TightVNC Viewer, DirectX Wrappers и плагины для WinMerge и Notepad++. Это позволяет злоумышленникам обходить стандартные средства защиты благодаря полиморфизму вредоносного кода.

Эксперты отмечают, что несмотря на предсказуемость методов Lazarus, атаки продолжают быть успешными. Уровень осведомленности сотрудников в оборонном и технологическом секторах остается недостаточным для распознавания фишинговых писем с поддельными предложениями о работе. Группа сохраняет консистентность операций, используя проверенные инструменты и методики на протяжении последних трех лет.

Исследователи предупреждают, что интерес северокорейских хакеров к технологиям БПЛА будет только расти. По данным разведки, КНДР строит завод по массовому производству беспилотников, что увеличивает потребность в производственных ноу-хау и конструкторской документации. Европейские компании, работающие в этой сфере, должны усилить меры кибербезопасности и повышать осведомленность сотрудников о методах социальной инженерии.

Атаки группы Lazarus демонстрируют устойчивую связь между геополитическими интересами государств и киберпространством. Кибершпионаж становится неотъемлемой частью технологического развития военной промышленности, особенно в странах, подверженных международным санкциям. Специалисты по безопасности ожидают дальнейшей эскалации подобных кампаний, нацеленных на критически важные технологии.

IPv4

• 104.21.80.1
• 104.247.162.67
• 108.181.92.71
• 152.42.239.211
• 172.67.193.139
• 185.148.129.24
• 193.39.187.165
• 23.111.133.162
• 45.148.29.122
• 66.29.144.75
• 70.32.24.131
• 75.102.23.3
• 77.55.252.111
• 95.217.119.214

Domains

• coralsunmarine.com
• ecudecode.mx
• galaterrace.com
• kazitradebd.com
• mediostresbarbas.com.ar
• oldlinewoodwork.com
• partnerls.pl
• pierregems.com
• spaincaramoon.com
• trainingpharmacist.co.uk
• www.anvil.org.ph
• www.bandarpowder.com
• www.mnmathleague.org
• www.scgestor.com.br

URLs

• https://coralsunmarine.com/wp-content/themes/flatsome/inc/functions/function-hand.php
• https://ecudecode.mx/redsocial/wp-content/themes/buddyx/inc/Customizer/usercomp.php
• https://galaterrace.com/wp-content/themes/hello-elementor/includes/functions.php
• https://kazitradebd.com/wp-content/themes/hello-elementor/includes/customizer/customizer-hand.php
• https://mediostresbarbas.com.ar/php_scrip/banahosting/index.php
• https://oldlinewoodwork.com/wp-content/themes/zubin/inc/index.php
• https://partnerls.pl/wp-content/themes/public/index.php
• https://pierregems.com/wp-content/themes/woodmart/inc/configs/js-hand.php
• https://spaincaramoon.com/realestate/wp-content/plugins/gravityforms/forward.php
• https://trainingpharmacist.co.uk/bootstrap/bootstrap.php
• https://www.anvil.org.ph/list/images/index.php
• https://www.bandarpowder.com/public/assets/buttons/bootstrap.php
• https://www.mnmathleague.org/ckeditor/adapters/index.php
• https://www.scgestor.com.br/wp-content/themes/vantage/inc/template-headers.php

SHA1

• 03d9b8f0fcf9173d2964ce7173d21e681dfa8da4
• 086816466d9d9c12fcada1c872b8c0ff0a5fc611
• 0cb73d70fd4132a4ff5493daa84aae839f6329d5
• 262b4ed6ac6a977135deca5b0872b7d6d676083a
• 26aa2643b07c48cb6943150ade541580279e8e0e
• 28978e987bc59e75ca22562924eab93355cf679e
• 2a2b20fddd65ba28e7c57ac97a158c9f15a61b05
• 2aa341b03fac3054c57640122ea849bc0c2b6af6
• 5b85dd485fd516aa1f4412801897a40a9be31837
• 5e5bba521f0034d342cc26db8bcfece57dbd4616
• 71d0ddb7c6cac4ba2bde679941fa92a31fbec1ff
• 87b2df764455164c6982ba9700f27ea34d3565df
• ac16b1baede349e4824335e0993533bf5fc116b3
• b12eeb595feec2cfbf9a60e1cc21a14ce8873539
• b68c49841dc48e3672031795d85ed24f9f619782
• b6d8d8f5e0864f5da788f96be085abecf3581cce
• cb7834be7de07f89352080654f7feb574b42a2b8
• e670c4275ec24d403e0d4de7135cbcf1d54ff09c