AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Lazarus compromete a empresas europeas de defensa mediante campañas de reclutamiento falso en “Operation DreamJob”**

admin

### Introducción

En uno de los movimientos más sofisticados detectados este año, el grupo Lazarus, vinculado al régimen norcoreano, ha conseguido infiltrarse en tres compañías europeas del sector defensa utilizando técnicas avanzadas de ingeniería social en el marco de la conocida “Operation DreamJob”. Este ataque, desarrollado a través de ofertas laborales fraudulentas, subraya la creciente amenaza que representan los actores patrocinados por estados en el panorama de la ciberseguridad occidental, especialmente para sectores estratégicos y críticos como la defensa.

### Contexto del Incidente

Lazarus, identificado oficialmente como APT38 por el MITRE ATT&CK y con un largo historial de ciberataques a infraestructuras críticas y entidades financieras, ha perfeccionado su táctica de suplantación de procesos de selección. Desde 2020, el grupo ha llevado a cabo múltiples campañas DreamJob, dirigidas principalmente a profesionales altamente cualificados en sectores sensibles. En esta última oleada, detectada en el primer semestre de 2024, los objetivos fueron tres empresas de defensa europeas con sedes en Alemania, España y Polonia.

El modus operandi de Lazarus se basa en suplantar a reclutadores de grandes firmas internacionales del sector defensa y tecnología, estableciendo contacto a través de LinkedIn y correo electrónico corporativo. A partir de ahí, el grupo despliega un arsenal técnico y psicológico que les ha permitido comprometer sistemas internos y extraer información sensible.

### Detalles Técnicos: Tácticas, Técnicas y Procedimientos

El vector inicial de acceso utilizado en esta campaña fue el spear-phishing avanzado, implementado mediante el envío de documentos adjuntos con malware o enlaces a sitios web maliciosos que simulaban portales de selección legítimos. Se han identificado al menos dos CVE explotados en la cadena de ataque:

– **CVE-2023-38831**: Vulnerabilidad de ejecución remota de código en WinRAR, aprovechada mediante archivos comprimidos especialmente manipulados, que ejecutan payloads cuando la víctima intenta abrir un fichero adjunto.
– **CVE-2024-21412**: Fallo de zero-day en Microsoft Outlook que permite la ejecución de scripts maliciosos al previsualizar mensajes.

Tras la explotación inicial, los atacantes desplegaron herramientas post-explotación como **Cobalt Strike** y **Metasploit**, usando beacons para el movimiento lateral y la exfiltración de datos. El despliegue de backdoors personalizados y la utilización de técnicas de living-off-the-land (LOLbins) dificultó la detección por parte de los sistemas EDR convencionales.

En términos de TTP, se han observado las siguientes técnicas MITRE ATT&CK:

– **TA0001 (Initial Access): Spearphishing Attachment**
– **TA0002 (Execution): User Execution**
– **TA0005 (Defense Evasion): Masquerading, Obfuscated Files or Information**
– **TA0006 (Credential Access): Credential Dumping**
– **TA0010 (Exfiltration): Exfiltration Over C2 Channel**

Los indicadores de compromiso (IoC) incluyen dominios de C2 registrados recientemente, hashes de archivos ejecutables en PowerShell y conexiones persistentes a IP asociadas históricamente a Lazarus, ubicadas en Corea del Norte y el sudeste asiático.

### Impacto y Riesgos

El impacto de esta campaña va mucho más allá de la sustracción de currículums o información técnica básica. Las empresas afectadas reportaron la filtración de planos de sistemas de armamento, documentos internos sobre contratos de la OTAN y credenciales de acceso a sistemas de diseño asistido por ordenador (CAD). El riesgo inmediato es la transferencia de tecnología militar sensible a actores estatales hostiles, con posibles repercusiones en la seguridad nacional y en el equilibrio geopolítico europeo.

Según estimaciones preliminares, el daño económico podría superar los 25 millones de euros, incluyendo costes de contención, remediación y potenciales sanciones regulatorias por incumplimiento de GDPR y la directiva NIS2.

### Medidas de Mitigación y Recomendaciones

Las empresas del sector defensa y tecnológico deben reforzar sus programas de concienciación en ciberseguridad, especialmente en lo referente a ingeniería social y spear-phishing. Se recomienda:

– Actualización urgente de WinRAR, Microsoft Outlook y cualquier software relacionado con la cadena de ataque.
– Implementación de autenticación multifactor (MFA) para todos los accesos remotos.
– Despliegue de sistemas EDR avanzados con capacidad de detección de LOLbins y actividad anómala.
– Monitorización continua de logs y análisis de comportamiento de usuarios privilegiados.
– Restricción de macros y ejecución de scripts en archivos adjuntos.
– Validación externa y por canales alternativos de cualquier contacto fuera de los circuitos habituales de RR.HH.

### Opinión de Expertos

Luis Corrons, analista senior de amenazas en Avast, señala: “Lazarus ha vuelto a demostrar su capacidad para combinar ingeniería social con exploits técnicos avanzados. La sofisticación de Operation DreamJob obliga a las empresas a replantear su enfoque clásico de seguridad, invirtiendo en detección proactiva y formación continua”.

Por su parte, la Agencia de Ciberseguridad de la Unión Europea (ENISA) advierte que este tipo de ataques encajan en la tendencia creciente de ciberespionaje industrial patrocinado por estados, subrayando la necesidad de colaboración público-privada y el intercambio rápido de indicadores de compromiso.

### Implicaciones para Empresas y Usuarios

Para las empresas del sector defensa y sus cadenas de suministro, la amenaza no se limita a la pérdida de propiedad intelectual, sino que puede derivar en sanciones regulatorias severas y pérdida de contratos públicos. Los usuarios y empleados deben extremar la cautela ante ofertas laborales inesperadas y verificar siempre la autenticidad de los contactos, especialmente si provienen de plataformas profesionales.

Este incidente también sirve de aviso para cualquier organización que maneje información sensible: la superficie de ataque humana sigue siendo el eslabón más débil.

### Conclusiones

La campaña DreamJob de Lazarus refleja la evolución de las amenazas estatales y su capacidad para explotar debilidades humanas y técnicas en sectores críticos europeos. Ante este escenario, la ciberresiliencia debe pasar de la mera reacción a la anticipación, con estrategias integrales que abarquen tanto la tecnología como la formación y los procesos internos. La cooperación internacional y el cumplimiento de marcos regulatorios como GDPR y NIS2 serán esenciales para frenar futuras campañas de este tipo.

(Fuente: www.bleepingcomputer.com)