Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Introduzione
Una nuova operazione di cyber-spionaggio attribuita al gruppo nordcoreano Lazarus è stata individuata da ricercatori di sicurezza di ESET.
L’operazione, chiamata Operation Dream Job, prende di mira ingegneri e ricercatori del settore difesa in Europa, utilizzando offerte di lavoro fittizie per distribuire malware e rubare segreti militari, in particolare progetti di droni e tecnologie aerospaziali.
—
Come funziona l’attacco
Gli attori della minaccia contattano professionisti del settore attraverso LinkedIn o email personalizzate, fingendosi recruiter di aziende internazionali come Airbus o BAE Systems.
1. Inviando un documento PDF o un file Word che descrive l’offerta di lavoro, in realtà infetto con un payload malevolo.
2. Una volta aperto, il file esegue un binario contenente un trojan che carica una DLL malevola.
3. Il malware installa due moduli principali:
ScoringMathTea, usato per raccolta informazioni e persistence.
MISTPEN, un loader avanzato che comunica con i server C2 tramite l’API Microsoft Graph e token legittimi di autenticazione.
4. Il sistema compromesso viene poi utilizzato per esfiltrare file, schemi tecnici e comunicazioni interne.
L’intera catena d’attacco è progettata per sembrare un normale processo aziendale, riducendo così il rischio di rilevamento.
—
Obiettivo: rubare segreti militari europei
Le indagini hanno rivelato che il gruppo ha preso di mira almeno tre aziende europee attive nella produzione di componenti per droni e aeromobili militari.
Secondo ESET, l’obiettivo è sostenere il programma UAV della Corea del Nord, raccogliendo informazioni tecniche sui sistemi di controllo remoto, design aerodinamico e firmware embedded.
Il gruppo Lazarus è già noto per campagne simili contro le industrie della difesa israeliane, sudcoreane e statunitensi, e continua a operare con risorse e obiettivi tipici di un APT governativa.
—
Lazarus Group: il volto dello spionaggio digitale nordcoreano
Identificato anche con i nomi APT38, Hidden Cobra e BlueNoroff, il gruppo Lazarus agisce sotto il controllo del regime di Pyongyang.
Nel tempo è stato collegato a operazioni di:
Furto di criptovalute per finanziare programmi militari.
Attacchi a infrastrutture bancarie e militari.
Campagne di social engineering nel settore tech e difesa.
Le tecniche di ingegneria sociale e recruitment fittizio fanno parte del loro arsenale da oltre cinque anni — ma oggi sono combinate con strumenti AI-driven capaci di generare email personalizzate e colloqui simulati in tempo reale.
—
Implicazioni per la cybersecurity
Questa operazione sottolinea un punto cruciale:
> la sicurezza aziendale non dipende solo da firewall e antivirus, ma anche dalla consapevolezza umana.
Gli esperti raccomandano di:
Verificare l’identità dei recruiter su LinkedIn e altre piattaforme.
Bloccare macro e contenuti attivi in documenti provenienti da contatti esterni.
Analizzare i token Microsoft Graph e attività API insolite.
Adottare soluzioni di Threat Intelligence in grado di riconoscere indicatori di compromissione (IoC) associati a Lazarus.
—
Ricerche reali collegate
Questa campagna riflette risultati di studi recenti sul comportamento del gruppo Lazarus:
ESET Threat Report 2025 Q3 documenta l’uso di ScoringMathTea come backdoor persistente in più settori industriali.
L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha segnalato un aumento del 37% degli attacchi di social engineering verso il comparto difesa.
Analisi accademiche su ACM Computing Surveys hanno dimostrato come l’inganno professionale digitale sia oggi una delle armi principali nei conflitti cyber-statali.
—
Conclusione
L’Operation Dream Job non è solo un attacco tecnico, ma una guerra psicologica canuffata da opportunità di carriera.
La Corea del Nord continua a sfruttare la fiducia, l’ambizione e la curiosità dei professionisti occidentali per ottenere vantaggi strategici.
> “Il vero malware non entra nei sistemi, entra nelle persone.”
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK
https://amzn.to/48exAdf
@EBOOK (English version)
https://amzn.to/4fflbbv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ