Netcrook Logo
👤 CIPHERWARDEN
🗓️ 24 Oct 2025   🗂️ Threats    

Lavoro da sogno o cavallo di Troia? Hacker nordcoreani prendono di mira l’industria europea dei droni

Spacciandosi per reclutatori, operatori nordcoreani attirano ingegneri della difesa con offerte di lavoro fasulle, scatenando una nuova ondata di cyber-spionaggio per rubare segreti sui droni.

In breve

  • Hacker nordcoreani stanno prendendo di mira aziende europee della difesa nel settore dei veicoli aerei senza pilota (droni).
  • La campagna, soprannominata Operazione Dream Job, utilizza offerte di lavoro false per infettare i computer delle vittime con malware.
  • Gli strumenti malware principali includono ScoringMathTea e MISTPEN, progettati per rubare dati sensibili e controllare i dispositivi compromessi.
  • Il Lazarus Group, un noto collettivo di hacker nordcoreani, è dietro questi attacchi.
  • L’operazione è in corso almeno dal 2020, con tattiche simili impiegate in attacchi a livello globale.

La tentazione del lavoro da sogno: come gli hacker preparano la trappola

Immaginate: un ingegnere di un produttore europeo di droni riceve un’email da un “reclutatore” che offre un nuovo ruolo ben remunerato. La descrizione del lavoro sembra legittima, lo stipendio è allettante e l’azienda appare reale. Ma dietro la stretta di mano digitale si cela la mano del Lazarus Group nordcoreano, che tesse una rete di inganni per catturare alcuni dei segreti aerospaziali più avanzati al mondo.

Questa è l’ultima evoluzione dell’Operazione Dream Job, una campagna di cyber-spionaggio di lunga data scoperta per la prima volta nel 2020 dalla società israeliana di cybersicurezza ClearSky. Il metodo è antico quanto il cavallo di Troia - solo che ora il cavallo di legno arriva sotto forma di un lettore PDF trojanizzato allegato a un’offerta di lavoro. Quando il bersaglio apre il documento, il malware si infiltra silenziosamente nel sistema, pronto a sottrarre segreti industriali e progetti proprietari.

Dentro l’attacco: la mascherata del malware

Al centro di questa operazione ci sono due armi digitali: ScoringMathTea e MISTPEN. ScoringMathTea, individuato per la prima volta nel 2022, è uno strumento di accesso remoto (RAT) che offre agli hacker quasi il completo controllo di un computer infetto. MISTPEN, aggiunta più recente, agisce come un corriere furtivo, scaricando altro software dannoso dal cloud tramite servizi Microsoft legittimi per non destare sospetti.

La catena d’attacco è ingannevolmente semplice. Dopo l’esca iniziale, un documento civetta viene abbinato a un’applicazione trappola. Quando viene avviato, questo pacchetto carica lateralmente un file malevolo, che a sua volta installa ScoringMathTea e downloader sofisticati come BinMergeLoader. L’obiettivo finale: sottrarre progetti di droni, protocolli di produzione o persino dettagli sulle catene di approvvigionamento militari.

La storia si ripete: l’impronta globale del Lazarus Group

Il Lazarus Group non è nuovo alla guerra informatica. Monitorato con vari nomi - tra cui APT-Q-1, Black Artemis e Hidden Cobra - questo collettivo nordcoreano è stato collegato a tutto, dal famigerato attacco a Sony Pictures nel 2014 a campagne globali di ransomware e furti di criptovalute. Il loro modus operandi si basa spesso sull’ingegneria sociale, sfruttando la fiducia umana con la stessa abilità con cui sfruttano le vulnerabilità tecniche.

Tattiche simili di “finto lavoro” sono state usate in attacchi passati contro aziende tecnologiche indiane, appaltatori della difesa polacchi e società nei settori energetico e aerospaziale. Il persistente interesse per la tecnologia UAV e aerospaziale suggerisce un obiettivo strategico: potenziare il programma droni nordcoreano, aggirando anni di ricerca e sanzioni rubando ciò che altri hanno costruito.

Geopolitica nell’era del cyber-spionaggio

Man mano che i droni diventano centrali nella guerra e nella sorveglianza moderne, il valore della tecnologia UAV proprietaria è schizzato alle stelle. La campagna del Lazarus Group ricorda che la battaglia per la supremazia tecnologica si combatte spesso nelle caselle di posta e nelle sale riunioni, non solo sul campo di battaglia. Per le aziende europee della difesa, la lezione è chiara: in un mondo dove i lavori da sogno possono essere trasformati in armi, la vigilanza non è più opzionale - è una questione di sopravvivenza.

Nell’era del cyber-spionaggio, ogni offerta di lavoro può essere un lupo travestito da agnello. Mentre la Corea del Nord affila i suoi artigli digitali, la corsa agli armamenti per il dominio dei droni ha una nuova, invisibile linea del fronte - dove la più grande vulnerabilità potrebbe essere proprio l’ambizione umana.

WIKICROOK

  • Strumento di Accesso Remoto (RAT): Uno strumento di accesso remoto (RAT) è un software che permette a qualcuno di controllare un computer a distanza, utilizzato sia per assistenza legittima che per attacchi informatici malevoli.
  • Ingegneria Sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o concedere accessi non autorizzati ai sistemi.
  • Applicazione Trojanizzata: Un’applicazione trojanizzata è un programma apparentemente legittimo che è stato segretamente modificato per includere malware, mettendo a rischio gli utenti di furto di dati o compromissione del sistema.
  • Payload: Un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, distribuito tramite email o file malevoli quando la vittima interagisce con essi.
  • Sideloading: Il sideloading consiste nell’installare app o software da fonti esterne agli store ufficiali, spesso saltando i controlli di sicurezza standard e aumentando i rischi potenziali.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news