Thought Leadership
Forscher des europäischen IT-Sicherheitsunternehmens ESET haben eine umfangreiche Cyberkampagne aufgedeckt, bei der nordkoreanische Angreifer gezielt europäische Unternehmen aus der Drohnenindustrie ins Visier nehmen.
Hinter den Angriffen steht die bekannte Hackergruppe Lazarus, die für zahlreiche staatlich gesteuerte Spionageaktionen verantwortlich gemacht wird.
Seit März 2025 konzentrieren sich die Cyberangriffe auf Firmen, die Komponenten oder Software für unbemannte Luftfahrtsysteme (UAVs) entwickeln – darunter auch Systeme, die im Ukraine-Krieg zum Einsatz kommen. Ziel der Hacker: der Diebstahl sensibler technischer Informationen, um die eigene militärische Drohnentechnologie voranzutreiben.
Täuschung durch falsche Jobangebote
Die von ESET als „Operation DreamJob“ bezeichnete Kampagne nutzt gezielte Social-Engineering-Taktiken. Die Angreifer geben sich als Personalvermittler aus und verschicken Einladungen zu Bewerbungsgesprächen oder hochrangigen Stellenangeboten. Interessierte Bewerber erhalten vermeintliche Bewerbungsunterlagen oder Testaufgaben – tatsächlich jedoch Dateien mit versteckter Schadsoftware.
Über diese infizierten Dokumente und manipulierten Plugins verschaffen sich die Hacker Zugriff auf interne Netzwerke. Besonders perfide: Die Schadprogramme werden über legitime Open-Source-Projekte eingeschleust. Dafür verändern die Täter unbemerkt Erweiterungen für bekannte Anwendungen wie Notepad++ oder WinMerge.
Einmal installiert, öffnet der Remote-Access-Trojaner „ScoringMathTea“ den Angreifern dauerhaft den Zugriff auf Systeme. Eine der entdeckten Komponenten trägt den bezeichnenden Namen „DroneEXEHijackingLoader.dll“ – ein direkter Hinweis auf das eigentliche Angriffsziel.
Geopolitische Hintergründe
Die Angriffswelle kommt zu einem Zeitpunkt erhöhter Spannungen zwischen Nordkorea und westlichen Staaten. ESET zufolge verfolgt Pjöngjang das Ziel, seine eigenen Drohnenprogramme zu beschleunigen. Nach Einsätzen nordkoreanischer Soldaten in der Ukraine Ende 2024 soll das Regime erkannt haben, wie entscheidend unbemannte Systeme für moderne Kriegsführung sind.
Da es dem Land an technischer Expertise mangelt, setzen die Angreifer offenbar auf digitale Spionage, um europäische Technologien zu kopieren. Die aktuelle Kampagne reiht sich in eine Serie gezielter Cyberoperationen ein, mit denen Nordkorea versucht, militärisches Wissen aus westlichen Ländern zu beschaffen.
Zusammenarbeit von Cyberkriminalität und Staat
Die Erkenntnisse verdeutlichen, wie eng staatliche Interessen und Cyberangriffe inzwischen miteinander verwoben sind. Für ESET ist klar, dass die Lazarus-Gruppe nicht eigenständig agiert, sondern Teil einer größeren staatlich gelenkten Infrastruktur ist. Ihre Aktionen dienen nicht nur wirtschaftlichen Zielen, sondern haben strategische Bedeutung für die militärische Planung Nordkoreas.
Empfehlung an betroffene Branchen
ESET rät Unternehmen in der Luft- und Raumfahrtbranche, insbesondere in der Drohnentechnologie, ihre Sicherheitskonzepte zu überprüfen. Social Engineering – also die gezielte Täuschung von Mitarbeitenden – bleibt laut den Forschern eine der effektivsten Angriffsmethoden.
Besondere Wachsamkeit ist bei Bewerbungsprozessen und externen Jobangeboten geboten. Verdächtige Dateien, selbst wenn sie von vermeintlich seriösen Quellen stammen, sollten stets mit isolierten Scans und Sicherheitsprüfungen untersucht werden.
Die Lazarus-Gruppe, auch bekannt unter den Namen Guardians of Peace oder APT38, zählt zu den aktivsten Hackergruppierungen weltweit. Trotz zahlreicher Zerschlagungen taucht sie immer wieder auf – ein Grund, warum sie ihren biblischen Namen trägt.
Bereits in der Vergangenheit griff Lazarus gezielt europäische Luft- und Raumfahrtunternehmen an, unter anderem 2023 ein spanisches Unternehmen derselben Branche. Mit der aktuellen Operation DreamJob hat die Gruppe ihren Fokus nun auf den Zukunftsmarkt der Drohnentechnologie ausgeweitet – ein Bereich, der zunehmend auch im geopolitischen Wettbewerb eine zentrale Rolle spielt.
