Avançar para o conteúdo principal

ESET deteta nova ofensiva do grupo Lazarus contra o setor de defesa europeu


Um MQ-9 Reaper britânico em 2009.


 Nova campanha de espionagem cibernética da Coreia do Norte aponta à indústria europeia de UAVs, segundo a ESET.

Um grupo de cibercriminosos norte-coreano voltou a direcionar os seus ataques à indústria europeia de defesa, com especial foco em empresas que desenvolvem tecnologia para veículos aéreos não tripulados. A operação, atribuída ao grupo Lazarus, representa mais uma ofensiva associada à chamada Operation DreamJob, uma campanha sustentada em técnicas de engenharia social e disfarçada sob ofertas de emprego falsas.


A ESET, empresa europeia de cibersegurança que tem acompanhado de perto a atividade do Lazarus, revelou que os ataques recentes visaram três empresas da Europa Central e do Sudeste, todas com ligações ao setor da defesa. Algumas destas organizações produzem componentes atualmente utilizados na Ucrânia, no contexto do apoio militar europeu ao país. A intrusão inicial terá sido obtida através de engenharia social, e o malware principal implantado foi o ScoringMathTea, um trojan de acesso remoto capaz de conceder controlo total sobre o sistema comprometido. O objetivo mais provável seria o roubo de informação confidencial e de know-how técnico.


A Operation DreamJob baseia-se em ofertas de emprego falsas para atrair as vítimas: os alvos recebem um documento aparentemente legítimo, acompanhado por um leitor de PDF infetado com malware. Esta abordagem tem sido uma constante nas campanhas do Lazarus, que historicamente se foca nos setores aeroespacial, de defesa e de engenharia. As ligações entre as empresas atingidas e a produção de drones sugerem uma conexão direta com os esforços da Coreia do Norte para expandir as suas capacidades nesta área.


Os investigadores da ESET identificaram uma das entidades atacadas como fabricante de dois modelos de drones atualmente em uso na Ucrânia, bem como participante na cadeia de fornecimento de aeronaves de rotor único, um tipo de UAV que Pyongyang tem procurado desenvolver internamente. Esta coincidência reforça a hipótese de que o grupo tenha procurado aceder a informações sobre tecnologia ocidental aplicada a sistemas de drones e outros equipamentos militares.


O grupo Lazarus, ativo desde pelo menos 2009 e também conhecido como HIDDEN COBRA, é amplamente reconhecido pelas suas operações de ciberespionagem, sabotagem e ataques financeiros. A sua estrutura complexa e a frequência com que altera as ferramentas utilizadas dificultam a deteção, apesar de manter um padrão relativamente consistente. Nos ataques mais recentes, o grupo continuou a incorporar código malicioso em projetos de código aberto disponíveis no GitHub, reforçando a capacidade de evasão e a dificuldade de rastreamento.


O ScoringMathTea, identificado pela primeira vez em 2022 em amostras associadas a falsas ofertas de emprego da Airbus, suporta cerca de quarenta comandos e é capaz de manipular ficheiros, executar processos, recolher dados do sistema e descarregar novas cargas de malware. Desde então, tem sido utilizado em múltiplas campanhas, desde empresas de tecnologia na Índia e de defesa na Polónia até companhias britânicas e italianas de automação e aeronáutica.


Segundo os investigadores da ESET, o grupo mantém uma estratégia previsível, mas eficaz: a repetição de técnicas conhecidas, combinada com pequenas variações no código e novas bibliotecas de execução, tem permitido ao Lazarus manter-se ativo e relevante no panorama global de ciberameaças. A persistência dos ataques e o foco crescente na indústria de drones europeia sugerem que Pyongyang continua a apostar na espionagem tecnológica como meio de sustentar o avanço do seu próprio programa militar.


ESET deteta nova ofensiva do grupo Lazarus contra o setor de defesa europeu


Comentários

Notícias mais vistas:

Construção da maior central solar em Portugal encravada há mais de dois anos na justiça, apesar de aprovada

Santa Luzia in northeastern Brazil.  EPA/SEBASTIAO MOREIRA  Desde 2024 que a autorização ambiental dada à central solar Fernando Pessoa foi suspensa por decisão do juiz e após impugnação do Ministério Público. Agência do Ambiente recorreu, mas não há decisão. A maior central solar aprovada para Portugal, com mais de mil megawatts (MW) de potência, está parada há mais de dois anos, na sequência de processos judiciais colocados contra a aprovação emitida pelas autoridades ambientais. A atribulada história do projeto, que foi batizado com o nome do poeta Fernando Pessoa, mostra que o licenciamento ambiental — por intervenção da Agência Portuguesa do Ambiente (APA) ou do ICNF (Instituto da Conservação da Natureza de Florestas) — nem sempre é o maior obstáculo à execução dos projetos de energias renováveis. A central solar fotovoltaica Fernando Pessoa está prevista para o concelho de Santiago do Cacém e obteve uma Declaração de Impacte Ambiental (DIA) favorável condicionada em jane...

Rendas congeladas “desesperam” proprietários e inquilinos apontam despejos como medida “oportunista”

Foto: Rodolfo Alexandre Reis  Luís Menezes Leitão, presidente da Associação Lisbonense de Proprietários diz que as propostas do Governo sobre o descongelamento das rendas são “minúsculas” e que mesmo em relação ao despejos “falta muito por esclarecer”. Já António Machado, líder da Associação de Inquilinos Lisbonenses considera que aumentar a liberalização dos contratos significa que “a parte mais fraca ainda fica mais fraca”. Concordam em discordar. É desta forma que os proprietários e inquilinos olham para o conjunto de medidas apresentadas pelo Governo sobre o novo regime do arrendamento urbano (NRAU). No lado da Associação Lisbonense de Proprietários (ALP), o presidente Luís Menezes Leitão, lamenta que o congelamento das rendas antigas a 1990, um dos principais cavalos de batalha da ALP se mantenha praticamente inalterado. “As alterações são minúsculas e só têm significado relativamente a inquilinos que ganhem acima de cinco salários mínimos mensais e mesmo assim estabelece a fi...

Governo assina contrato para DSTelecom levar fibra ótica a todo o país

Miguel Pinto Luz evidenciou que este projeto vai 'tornar viável viver e trabalhar fora das áreas metropolitanas'. - Luís Manuel Neves / Medialivre O Governo já assinou o contrato que vai permitir que a DSTelecom equipe Portugal com rede de fibra ótica, eliminando a atual fragmentação - as chamadas áreas brancas - que se tem sentido no acesso a internet, especialmente àquela de alta velocidade. O contrato foi assinado com as cinco Comissões de Coordenação e Desenvolvimento Regional e a operadora que ganhou o concurso internacional em 2025. A DSTelecom vai ficar responsável pela instalação, gestão, exploração e manutenção das redes de comunicações eletrónicas de capacidade muito elevada, tendo o objetivo de dar cobertura a todo o território nacional. De acordo com o Executivo, esta instalação e consequente implementação visar levar internet mais rápida a edifícios residenciais e não residenciais, nomeadamente à indústria, comércio e atividades agrícolas. Em comunicado, o ministro...