jeudi, juillet 2, 2026
35.5 C
Tunisie

ESET révèle une attaque Lazarus ciblant les technologies UAV en Europe

ESET Research dévoile une nouvelle cyberattaque du groupe Lazarus contre des fabricants européens de drones. Une opération hautement sophistiquée mêlant ingénierie sociale, outils open source compromis et malware avancé destiné à voler technologies UAV critiques.

ESET Research a identifié une nouvelle campagne du groupe APT Lazarus, focalisée sur l’infiltration technologique de plusieurs fabricants européens de drones. Cette opération s’inscrit dans la continuité de la série d’attaques DreamJob, bien connue pour ses techniques d’ingénierie sociale ultra-ciblées et son exploitation agressive d’outils open source.

Les cibles sont trois entreprises stratégiques d’Europe centrale et du Sud-Est, spécialisées dans la production d’UAV militaires, de systèmes embarqués et de composants critiques déployés dans le conflit russo-ukrainien. Selon ESET, cette offensive témoigne d’un intérêt croissant de la Corée du Nord pour l’acquisition de technologies occidentales afin d’accélérer son propre programme de drones.

Une infiltration basée sur des offres d’emploi high-tech falsifiées

Le mode opératoire de Lazarus reste fidèle à sa signature :

  • diffusion de fausses offres d’emploi attribuées à des entreprises reconnues,
  • envoi d’un document leurre,
  • installation d’un lecteur PDF modifié et trojanisé,
  • déploiement du RAT ScoringMathTea via une chaîne d’exécution polymorphe.

Cette technique, redoutable dans le secteur technologique, tire parti du besoin de mobilité professionnelle des profils hautement qualifiés. Le lecteur PDF piégé déclenche l’installation d’une backdoor permettant un accès total et discret aux systèmes internes.

ESET attribue cette campagne à Lazarus avec un niveau de certitude élevé, grâce aux similarités tactiques, aux infrastructures C&C récurrentes et aux types de fichiers trojanisés identifiés.

ScoringMathTea : un RAT polyvalent conçu pour le cyberespionnage avancé

Au cœur de l’attaque se trouve ScoringMathTea, un outil d’accès à distance capable d’exécuter une quarantaine de commandes.
Ses fonctionnalités incluent :

  • exécution de processus à distance,
  • manipulation avancée de fichiers,
  • collecte d’informations système,
  • ouverture de connexions TCP,
  • récupération de charges supplémentaires depuis un serveur C&C.

Découvert initialement en 2022 dans de faux documents portant la signature Airbus, ScoringMathTea est aujourd’hui l’un des outils les plus utilisés dans les opérations Lazarus.
Ses déploiements récents confirment une stratégie persistante :

  • Inde (2023),
  • Pologne (2023),
  • Royaume-Uni (2023),
  • Italie (2025).

Open source trojanisé : l’arme silencieuse de Lazarus

Une des évolutions majeures détectées par ESET est la capacité du groupe à trojaniser des projets open source hébergés sur GitHub.
Cette approche permet :

  • une intégration fluide dans les environnements de développement,
  • une propagation discrète dans des workflows DevSecOps,
  • un contournement naturel de nombreux mécanismes de détection,
  • une exploitation directe des outils utilisés par les ingénieurs R&D.

Lazarus combine cette approche avec des bibliothèques de DLL proxying, augmentant la furtivité et la résilience de l’attaque.

Un ciblage aligné sur le contexte géopolitique et technologique

Le fait que les entreprises visées produisent des drones utilisés en Ukraine renforce l’hypothèse d’une opération de collecte de renseignements destinés au programme militaire nord-coréen.
Pyongyang cherche notamment à :

  • améliorer ses drones monorotors,
  • optimiser ses systèmes de navigation,
  • renforcer ses capacités de reconnaissance,
  • développer ses propres plateformes UAV basées sur des technologies volées.

« Il est probable que l’opération DreamJob vise à dérober des informations techniques sur les drones. Certains fichiers malveillants mentionnent explicitement ces technologies. » explique Peter Kálnai, chercheur chez ESET.

Examples of 2025 Operation DreamJob execution chains delivering BinMergeLoader and ScoringMathTea
Examples of 2025 Operation DreamJob execution chains delivering BinMergeLoader and ScoringMathTea

Lazarus : une menace persistante pour les infrastructures technologiques et industrielles

Actif depuis 2009, Lazarus — ou HIDDEN COBRA — s’est imposé comme l’un des groupes APT les plus dangereux au monde, ciblant les secteurs :

  • de la défense,
  • de l’aérospatiale,
  • de la haute technologie,
  • de l’automatisation industrielle,
  • de la finance.

Leur capacité à combiner ingénierie sociale, outils R&D contaminés et armes logicielles avancées en fait une menace majeure pour les infrastructures critiques européennes.

Pour aller plus loin

ESET publie une analyse complète sur WeLiveSecurity, intitulée « Gotta fly : Lazarus targets the UAV sector », détaillant les mécanismes techniques et les indicateurs de compromission.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires