Spionage per Traumjob: Lazarus zielt auf Europas Drohnenindustrie : Wie Nordkoreas Hackergruppe mit fingierten Jobangeboten an geheime Fertigungsdaten gelangt

Die Lazarus-Gruppe setzt auf eine altbewährte, aber wirksame Masche: Ingenieurinnen und Ingenieure erhalten per E-Mail scheinbar attraktive Jobangebote, die Bewerbungsunterlagen enthalten – oft mit einem täuschend echten PDF-Dokument. Wer es öffnet, installiert unbemerkt eine Schadsoftware. Diese startet eine Kette von Angriffen, die schließlich eine manipulierte Bibliothek in das System einschleust und eine Fernsteuerung ermöglicht.

Bereits 2020 wurde dieses Vorgehen erstmals dokumentiert. Kampagnen wie DeathNote, NukeSped, Operation In(ter)ception und Operation North Star operierten nach ähnlichem Muster. Jetzt erlebt es eine neue, technisch verfeinerte Wiederholung, die gezielt auf die europäische Rüstungs- und Luftfahrtindustrie gerichtet ist.

Fokus auf Drohnen und Verteidigung

Das Sicherheitsunternehmen ESET berichtet, dass mehrere der angegriffenen Unternehmen in Europa im Bereich unbemannter Luftfahrzeuge tätig sind. „Einige dieser Firmen sind stark im Bereich Drohnentechnik engagiert – was darauf hindeutet, dass die Operation mit den derzeitigen Bemühungen Nordkoreas zusammenhängt, sein Drohnenprogramm auszubauen“, erklären die ESET-Experten Peter Kálnai und Alexis Rapin.

Diese Einschätzung legt nahe, dass es der Lazarus-Gruppe nicht um kurzfristige Gewinne geht, sondern um strategische Spionageziele: technologische Informationen, Baupläne und Produktionswissen, das für militärische Anwendungen von hohem Wert ist.

Werkzeuge der Spione: modulare Malware und Tarnung

Im Zentrum der Angriffe stehen zwei Schadprogramme: ScoringMathTea und MISTPEN. Beide ermöglichen den Angreifern umfassenden Fernzugriff und das Nachladen weiterer Module. Die jüngste Analyse von ESET zeigt, dass ScoringMathTea über etwa vierzig Befehle verfügt – genug, um kompromittierte Systeme vollständig zu kontrollieren.

ESET fasst zusammen: „Seit fast drei Jahren setzt Lazarus konsequent auf dieselbe Vorgehensweise: Das bevorzugte Hauptprogramm ScoringMathTea wird verteilt und Open-Source-Anwendungen werden mit Schadcode versehen. Diese vorhersehbare, aber effektive Strategie bietet genug Varianten, um Sicherheitsmechanismen zu umgehen.“

Lazarus tarnt sich mit bewährten Methoden: Angreifer schleusen dynamische Linkbibliotheken ein, verstecken verschlüsselte Daten in ausführbaren Programmen und nutzen legitime Systemprogramme als Startpunkte. Die modulare Bauweise sorgt dafür, dass sich die Schadsoftware häufig verändert und Signaturprüfungen erschwert werden. Gleichzeitig bleiben die Verhaltensmuster so ähnlich, dass Analysten die Angriffe verfolgen und zuordnen können.

Weitere Details der neuen Angriffsvariante

Untersuchungen des Threat-Intelligence-Teams LAB52 beim spanischen Sicherheitsunternehmen S2 Grupo zeigen außerdem, dass manipulierte Open-Source-Programme wie TightVNC als Sprungbrett dienen: Loader wie TSVIPSrv.dll und BinMergeLoader (unter dem Tarnnamen HideFirstLetter.dll) werden direkt in den Arbeitsspeicher geladen und Angreifer legen eigens benannte Systemdienste an, um die Schadsoftware auszuführen.

Laut LAB52 wird TSVIPSrv.dll „über einen von den Angreifern angelegten bösartigen Systemdienst mit dem Namen sessionenv ausgeführt“. Zudem seien „zwei weitere Dateien, wordpad.dll.mui und msinfo32.dll.mui, zuvor von den Angreifern auf dem System platziert worden. Sie enthalten die eigentlichen Schadcode-Payloads, die anschließend geladen werden.“

Der schädliche DLL-Loader beinhaltet zwei Base64-codierte Ressourcen, ein Passwort sowie den Pfad zu wordpad.dll.mui. Diese Informationen werden entschlüsselt, um anschließend msinfo32.dll.mui zu starten – deren genaue Funktion bislang jedoch unbekannt ist.

Taktik: bekannte Muster, neue Verpackung

Der Social-Engineering-Trick bleibt dabei das Herzstück der Kampagne. „Das Grundmuster ist immer gleich: ein verlockendes, aber gefälschtes Jobangebot – kombiniert mit Schadsoftware“, so die ESET-Leute. „Das Ziel erhält ein Dokument mit einer angeblichen Stellenbeschreibung und einen manipulierten PDF-Reader, um es zu öffnen.“

Sobald der Nutzer diese Datei öffnet, wird eine unscheinbare Systembibliothek gestartet, die wiederum weitere Module im Speicher nachlädt. Diese nutzen Microsofts Graph-Programmierschnittstelle und Token, um zusätzliche Schadkomponenten unauffällig aus der Cloud herunterzuladen.

Bedrohung für Lieferketten und geistiges Eigentum

Die aktuelle Angriffswelle verdeutlicht, wie stark wirtschaftliche Spionage und staatlich gesteuerte Cyberoperationen heute ineinandergreifen. Betroffen sind nicht nur große Konzerne, sondern auch Zulieferer und Forschungsinstitute, die über hochspezialisiertes Know-how verfügen.

Die gestohlenen Informationen könnten für den Aufbau militärischer Fertigungsprozesse oder zur Umgehung von Sanktionen genutzt werden. Besonders gefährdet sind mittelständische Unternehmen, die zwar technologisch führend, aber im Bereich Cyberabwehr oft unterbesetzt sind.

Strategien zur Abwehr

• Frühwarnsysteme und Threat Intelligence: Unternehmen sollten Indikatoren aus aktuellen Analysen aktiv in ihre Sicherheitsüberwachung einbinden.
• Zero-Trust-Architektur: Nur geprüfte Anwendungen und Geräte dürfen kommunizieren.
• Segmentierung: Trennung von Büro- und Fertigungsnetzwerken, um Bewegungen des Angreifers einzuschränken.
• Sensibilisierung der Mitarbeitenden: Schulungen zu Social-Engineering-Taktiken, insbesondere zu gefälschten Bewerbungsprozessen.
• Kontinuierliche Überwachung: Analyse ungewöhnlicher Netzwerkaktivitäten, Nutzung von Sandboxing und E-Mail-Filtern.

Fazit: Geduld, Täuschung und Präzision

 Operation Dream Job zeigt erneut, wie professionell staatlich unterstützte Angreifer vorgehen. Die Kombination aus Täuschung, technischer Raffinesse und langfristiger Zielverfolgung macht Lazarus zu einer der gefährlichsten Gruppen weltweit.

Das Gute: Die wiederkehrenden Muster bieten auch eine Chance. Wer seine Sicherheitsarchitektur anpasst, Bedrohungsdaten teilt und Mitarbeitende gezielt sensibilisiert, kann sich vorbereiten – bevor der vermeintliche Traumjob zur Einfallstür wird.