Cyberspionagecampagne, Lazarus, richt pijlen op Europese dronesector

In maart 2025 signaleerde ESET aanvallen op drie defensiebedrijven in Centraal- en Zuidoost-Europa. Twee van hen zijn actief in UAV-technologie: één produceert essentiële dronecomponenten, de ander ontwikkelt gerelateerde software. Het vermoedelijke doel van de aanvallen lijkt vooral het verzamelen van vertrouwelijke ontwerpen en technische kennis voor productie.

Social engineering als toegangspoort

De aanvallers gebruikten bekende methodes uit eerdere Lazarus-campagnes. Zo werd toegang verkregen via social engineering: slachtoffers ontvingen een valse vacature, zogenaamd voor een topfunctie, in combinatie met een geïnfecteerde PDF-lezer. Zodra het misleidende document werd geopend, installeerde zich de kwaadaardige ScoringMathTea-malware.

“We hebben sterke aanwijzingen dat Lazarus met deze campagne specifiek uit was op kennis rond drones,” aldus Peter Kálnai, ESET-onderzoeker. “Bij één van de doelwitten troffen we aanwijzingen voor betrokkenheid bij UAV-modellen die momenteel in Oekraïne worden ingezet. Dit sluit aan bij Pyongyangs toenemende focus op binnenlandse dronecapaciteiten.”

Gevolgen voor de UAV-industrie in Europa

De UAV-sector ontwikkelt zich in hoog tempo en is een strategische prioriteit in Europa en Nederland. Er wordt flink geïnvesteerd in hoogwaardige drone-technologie. Daarnaast stimuleren Europese overheden de samenwerking met onder meer Oekraïense fabrikanten. Die kennis en ervaring maakt bedrijven die dronetechnologie ontwikkelen een potentieel interessant doelwit voor spionage.

Tegelijkertijd ontstaan er talloze start-ups en scale-ups die zich richten op de ontwikkeling van UAV-platforms, besturingssoftware en kritieke componenten. Maar die technische kennis maakt de sector juist extra aantrekkelijk voor cyberspionage.

Uit het ESET-onderzoek blijkt dat Lazarus actief jaagt op deze waardevolle kennis. Bedrijven die werken aan drone-ontwerpen en productieprocessen zijn expliciet doelwit van de groep. Dit onderstreept de dringende noodzaak om technologische voorsprong en intellectueel eigendom te beschermen met cybersecuritymaatregelen.

Aandacht voor inzet aan het front

De inzet van drones in Oekraïne, gecombineerd met de aanwezigheid van Noord-Koreaanse militairen aan Russische zijde, versterkt het vermoeden dat Lazarus gericht informatie wil vergaren over Westerse wapensystemen aan het front. Noord-Korea staat erom bekend militaire technologie te ontwikkelen via reverse engineering en diefstal van intellectueel eigendom, een patroon dat nu opnieuw zichtbaar wordt.

ScoringMathTea

De centrale payload in deze campagne is ScoringMathTea, een geavanceerde remote access trojan (RAT) met meer dan 40 commando’s. Sinds de eerste waarneming in oktober 2022 is de malware herhaaldelijk ingezet bij aanvallen op technologie- en defensiebedrijven in India, Polen, het Verenigd Koninkrijk en Italië.

Lazarus verpakt de malware in ogenschijnlijk legitieme open-sourceprojecten op GitHub, om zo beveiligingsoplossingen te omzeilen en detectie te voorkomen.

“Al bijna drie jaar volgt Lazarus een vast patroon: dezelfde payload, vergelijkbare infectiemethoden, en hergebruik van open-source als transportmiddel,” zegt Kálnai. “Die voorspelbaarheid maakt het mogelijk om de aanvallen te herleiden naar Lazarus, maar blijft effectief genoeg om beveiligingssystemen te slim af te zijn.”

Over Lazarus en Operation DreamJob

De Lazarus-groep, ook bekend als HIDDEN COBRA, is een aan Noord-Korea gelieerde APT-groepering die sinds 2009 betrokken is bij grootschalige cyberincidenten. De groep voert campagnes uit voor cyberspionage, cybersabotage en financieel gewin.

Operation DreamJob is één van die campagnes, waarbij vooral werknemers in de luchtvaart-, defensie- en technologiesector worden benaderd met nepvacatures voor belangrijke leidinggevende functies.

Een technisch overzicht van Lazarus Operation DreamJob is te vinden in de blogpost “Gotta fly: Lazarus targets the UAV sector” op WeLiveSecurity.com.