A campanha, denominada "Operation DreamJob" por investigadores da ESET, visou três empresas na Europa Central e do Sudeste ligadas ao setor da defesa.

A tática principal consistiu no envio de ofertas de emprego falsas através de engenharia social. As vítimas recebiam um documento que parecia legítimo, acompanhado por um leitor de PDF infetado que instalava o malware principal, o trojan de acesso remoto (RAT) ScoringMathTea.

Este malware concede aos atacantes controlo total sobre o sistema comprometido, permitindo a exfiltração de dados confidenciais.

A escolha dos alvos é estrategicamente relevante, uma vez que algumas das empresas visadas produzem componentes utilizados em drones no conflito na Ucrânia.

Além disso, uma das entidades atacadas fabrica um tipo de UAV que a Coreia do Norte tem procurado desenvolver internamente.

Este facto sugere um esforço deliberado de Pyongyang para adquirir tecnologia militar ocidental, seja para avançar o seu próprio programa de armamento ou para partilhar com os seus aliados. O grupo Lazarus, também conhecido como HIDDEN COBRA, tem um longo historial de ciberataques, mas esta campanha demonstra um foco crescente na espionagem industrial para fins militares, ilustrando a crescente sobreposição entre o ciberespaço e os conflitos convencionais.