Các tác nhân đe dọa có liên hệ với Triều Tiên được cho là đứng sau làn sóng tấn công mới nhằm vào các công ty châu Âu hoạt động trong ngành công nghiệp quốc phòng, thuộc chiến dịch kéo dài mang tên Operation Dream Job.
"Một số [công ty] này hoạt động mạnh trong lĩnh vực máy bay không người lái (UAV), cho thấy chiến dịch có thể liên quan đến nỗ lực hiện tại của Triều Tiên nhằm mở rộng chương trình máy bay không người lái của mình," các nhà nghiên cứu bảo mật của ESET là Peter Kálnai và Alexis Rapin cho biết trong một báo cáo được chia sẻ với The Hacker News.
Mục tiêu cuối cùng của chiến dịch được đánh giá là đánh cắp thông tin độc quyền và bí quyết sản xuất bằng cách sử dụng các họ mã độc như ScoringMathTea và MISTPEN. Công ty an ninh mạng của Slovakia cho biết họ đã quan sát thấy chiến dịch bắt đầu vào cuối tháng 3 năm 2025.
Một số thực thể bị nhắm mục tiêu bao gồm một công ty kỹ thuật kim loại ở Đông Nam Âu, một nhà sản xuất linh kiện máy bay ở Trung Âu và một công ty quốc phòng ở Trung Âu.
Trong khi ScoringMathTea (còn gọi là ForestTiger) đã được ESET quan sát trước đó vào đầu năm 2023 trong các cuộc tấn công mạng nhằm vào một công ty công nghệ Ấn Độ và một nhà thầu quốc phòng ở Ba Lan, MISTPEN đã được Google Mandiant ghi nhận vào tháng 9 năm 2024 như một phần của các vụ xâm nhập nhắm vào các công ty trong lĩnh vực năng lượng và hàng không vũ trụ. Lần đầu tiên ScoringMathTea xuất hiện là vào tháng 10 năm 2022.
Operation Dream Job, lần đầu tiên được công ty an ninh mạng ClearSky của Israel tiết lộ vào năm 2020, là một chiến dịch tấn công dai dẳng được thực hiện bởi một nhóm tin tặc Triều Tiên khét tiếng có tên Lazarus Group, nhóm này còn được theo dõi dưới các tên gọi APT-Q-1, Black Artemis, Diamond Sleet (trước đây là Zinc), Hidden Cobra, TEMP.Hermit, và UNC2970. Nhóm tin tặc này được cho là đã hoạt động từ ít nhất năm 2009.
Trong các cuộc tấn công này, các tác nhân đe dọa sử dụng các mồi nhử kỹ thuật xã hội tương tự như Contagious Interview để tiếp cận các mục tiêu tiềm năng bằng những cơ hội việc làm hấp dẫn và lừa họ lây nhiễm mã độc vào hệ thống. Chiến dịch này cũng có những điểm trùng lặp với các nhóm được theo dõi là DeathNote, NukeSped, Operation In(ter)ception, và Operation North Star.
"Chủ đề nổi bật là một lời mời làm việc hấp dẫn nhưng giả mạo đi kèm mã độc: mục tiêu nhận được một tài liệu mồi nhử với mô tả công việc và một trình đọc PDF đã bị sửa đổi để lây nhiễm (trojanized PDF reader) để mở nó," các nhà nghiên cứu của ESET cho biết.
Chuỗi tấn công dẫn đến việc thực thi một file nhị phân (binary), chịu trách nhiệm sideload một DLL độc hại, cài đặt ScoringMathTea cũng như một trình tải xuống tinh vi có tên mã BinMergeLoader, hoạt động tương tự như MISTPEN và sử dụng Microsoft Graph API và các token để tải về các payload bổ sung.
Các chuỗi lây nhiễm thay thế đã được phát hiện tận dụng một dropper không xác định để phân phối hai payload tạm thời, trong đó payload đầu tiên tải payload thứ hai, cuối cùng dẫn đến việc triển khai ScoringMathTea, một RAT tiên tiến hỗ trợ khoảng 40 lệnh để kiểm soát hoàn toàn các máy bị xâm nhập.
"Trong gần ba năm, Lazarus đã duy trì một modus operandi nhất quán, triển khai payload chính ưa thích của chúng là ScoringMathTea và sử dụng các phương pháp tương tự để trojan hóa các ứng dụng mã nguồn mở," ESET cho biết. "Chiến lược có thể dự đoán được nhưng hiệu quả này mang lại đủ polymorphism để né tránh các biện pháp phát hiện bảo mật, ngay cả khi nó không đủ để che giấu danh tính của nhóm và làm mờ quá trình gán tội."
