A operação, denominada "DreamJob", utiliza engenharia social e malware sofisticado para roubar propriedade intelectual com potenciais implicações geopolíticas.

Segundo a empresa de cibersegurança ESET, os ataques recentes visaram três empresas na Europa Central e do Sudeste, todas com ligações ao setor da defesa.

A intrusão inicial foi conseguida através de falsas ofertas de emprego, uma tática recorrente do grupo, onde as vítimas recebem documentos PDF infetados que instalam o malware principal, o "ScoringMathTea".

Este é um trojan de acesso remoto (RAT) que concede aos atacantes controlo total sobre os sistemas comprometidos, permitindo a exfiltração de dados confidenciais e know-how técnico.

A investigação da ESET revelou uma ligação preocupante: algumas das organizações visadas produzem componentes e drones que estão atualmente a ser utilizados na Ucrânia.

Esta conexão sugere que a Coreia do Norte poderá estar a tentar obter informações sobre tecnologia militar ocidental, seja para apoiar a Rússia no conflito ou para acelerar o desenvolvimento do seu próprio programa de veículos aéreos não tripulados. Este foco representa uma mudança estratégica para o grupo Lazarus, tradicionalmente conhecido por ataques com motivação financeira, como o roubo de criptomoedas, para financiar o regime de Pyongyang. A campanha demonstra uma evolução para a espionagem industrial e militar, alinhada com os objetivos estratégicos do Estado norte-coreano.