Netcrook Logo
👤 CIPHERWARDEN
🗓️ 24 Oct 2025   🗂️ Threats    

¿Trabajo soñado o caballo de Troya? Hackers norcoreanos apuntan a la industria europea de drones

Haciéndose pasar por reclutadores, operativos norcoreanos atraen a ingenieros de defensa con empleos falsos, desatando una nueva ola de ciberespionaje para robar secretos sobre drones.

Datos rápidos

  • Hackers norcoreanos están atacando empresas europeas de defensa en el sector de vehículos aéreos no tripulados (drones).
  • La campaña, denominada Operación Trabajo Soñado, utiliza ofertas de empleo falsas para infectar las computadoras de las víctimas con malware.
  • Las principales herramientas de malware incluyen ScoringMathTea y MISTPEN, diseñadas para robar datos sensibles y controlar máquinas comprometidas.
  • El Grupo Lazarus, un notorio colectivo de hackers norcoreanos, está detrás de los ataques.
  • Esta operación está en marcha al menos desde 2020, con tácticas similares empleadas en ataques a nivel mundial.

La tentación del trabajo soñado: cómo los hackers tienden la trampa

Imagina esto: un ingeniero en un fabricante europeo de drones recibe un correo electrónico de un “reclutador” que le ofrece un puesto lucrativo. La descripción del trabajo parece legítima, el salario es atractivo y la empresa parece real. Pero detrás del apretón de manos digital está la mano del Grupo Lazarus de Corea del Norte, tejiendo una red de engaños diseñada para atrapar algunos de los secretos aeroespaciales más avanzados del mundo.

Esta es la última evolución de la Operación Trabajo Soñado, una campaña de ciberespionaje de larga duración expuesta por primera vez en 2020 por la firma israelí de ciberseguridad ClearSky. El método es tan antiguo como el caballo de Troya - solo que ahora, el caballo de madera llega como un lector de PDF troyanizado adjunto a una oferta de trabajo. Cuando el objetivo abre el documento, el malware se infiltra silenciosamente en su sistema, listo para robar secretos comerciales y diseños patentados.

Dentro del ataque: el disfraz del malware

En el corazón de esta operación hay dos armas digitales: ScoringMathTea y MISTPEN. ScoringMathTea, detectado por primera vez en 2022, es una herramienta de acceso remoto (RAT) que otorga a los hackers control casi total sobre una computadora infectada. MISTPEN, una incorporación más reciente, actúa como un mensajero sigiloso, trayendo más software malicioso desde la nube usando servicios legítimos de Microsoft para evitar sospechas.

La cadena de ataque es engañosamente simple. Tras la trampa inicial, un documento señuelo viene acompañado de una aplicación trampa. Al ejecutarse, este paquete carga lateralmente un archivo malicioso, que a su vez instala ScoringMathTea y descargadores sofisticados como BinMergeLoader. El objetivo final: extraer planos de diseño de drones, protocolos de fabricación o incluso detalles sobre cadenas de suministro militar.

La historia se repite: la huella global del Grupo Lazarus

El Grupo Lazarus no es un recién llegado a la guerra cibernética. Rastreado bajo varios nombres - including APT-Q-1, Black Artemis y Hidden Cobra - este colectivo norcoreano ha sido vinculado a todo, desde el infame ataque a Sony Pictures en 2014 hasta campañas globales de ransomware y robos de criptomonedas. Su manual a menudo se basa en la ingeniería social, explotando la confianza humana con tanta destreza como cualquier vulnerabilidad técnica.

Tácticas similares de “empleos falsos” se han utilizado en ataques pasados a empresas tecnológicas indias, contratistas de defensa polacos y compañías de los sectores energético y aeroespacial. El enfoque persistente en la tecnología UAV y aeroespacial sugiere un objetivo estratégico: potenciar el propio programa de drones de Corea del Norte, eludiendo años de investigación y sanciones al robar lo que otros han construido.

Geopolítica en la era del ciberespionaje

A medida que los drones se vuelven centrales en la guerra y la vigilancia modernas, el valor de la tecnología UAV patentada se ha disparado. La campaña del Grupo Lazarus es un recordatorio de que la batalla por la supremacía tecnológica a menudo se libra en bandejas de entrada y salas de juntas, no solo en el campo de batalla. Para las empresas europeas de defensa, la lección es clara: en un mundo donde los trabajos soñados pueden ser armas, la vigilancia ya no es opcional - es existencial.

En la era del ciberespionaje, cada oferta de trabajo podría ser un lobo con piel de cordero. Mientras Corea del Norte afila sus garras digitales, la carrera armamentista por la supremacía en drones tiene una nueva y invisible línea de frente - una donde la mayor vulnerabilidad podría ser, precisamente, la ambición humana.

WIKICROOK

  • Herramienta de Acceso Remoto (RAT): Una Herramienta de Acceso Remoto (RAT) es un software que permite a alguien controlar una computadora de forma remota, utilizada tanto para soporte legítimo como para ciberataques maliciosos.
  • Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para engañar a las personas y hacer que revelen información confidencial o proporcionen acceso no autorizado a sistemas.
  • Aplicación troyanizada: Una aplicación troyanizada es un programa que parece legítimo pero que ha sido alterado en secreto para incluir malware, poniendo en riesgo a los usuarios de robo de datos o compromiso del sistema.
  • Carga útil: Una carga útil es la parte dañina de un ciberataque, como un virus o spyware, entregada a través de correos electrónicos o archivos maliciosos cuando la víctima interactúa con ellos.
  • Carga lateral (Sideloading): La carga lateral es la instalación de aplicaciones o software fuera de las tiendas oficiales de aplicaciones, a menudo omitiendo controles de seguridad estándar y aumentando los riesgos potenciales.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news