Die nordkoreanischen staatlich unterstützten Bedrohungsakteure werden einer Cyber-Spionagekampagne zugeordnet, die auf den Verteidigungssektor weltweit abzielt. In einem gemeinsamen Sicherheitshinweis, der vom Bundesamt für Verfassungsschutz (BfV) Deutschlands und dem National Intelligence Service (NIS) Südkoreas veröffentlicht wurde, wurde festgestellt, dass das Ziel der Angriffe darin besteht, fortgeschrittene Verteidigungstechnologien auf „kosteneffiziente“ Weise zu plündern.
Die berüchtigte Lazarus-Gruppe wurde für eines der beiden Hacking-Vorfälle verantwortlich gemacht, bei dem Social Engineering eingesetzt wurde, um in den Verteidigungssektor im Rahmen einer langjährigen Operation namens Dream Job einzudringen. Die Kampagne läuft seit August 2020 über mehrere Wellen.
In diesen Angriffen erstellen die Bedrohungsakteure entweder ein gefälschtes Profil oder nutzen legitime, aber kompromittierte Profile auf Plattformen wie LinkedIn, um potenzielle Ziele anzusprechen und Vertrauen aufzubauen. Anschließend bieten sie lukrative Jobangebote an und führen das Gespräch auf einen anderen Messaging-Dienst wie WhatsApp, um den Rekrutierungsprozess einzuleiten. Opfer werden dann mit Malware beladene Codierungsaufgaben und Jobangebotsdokumente geschickt, die beim Start den Infektionsprozess aktivieren, um ihre Computer zu kompromittieren.
Der zweite Fall betrifft einen Einbruch in ein Verteidigungsforschungszentrum gegen Ende des Jahres 2022 durch die Durchführung eines Software-Lieferkettenangriffs gegen ein ungenanntes Unternehmen, das für die Wartung eines der Webserver des Forschungszentrums verantwortlich ist.
Die Sicherheitswarnung ist die zweite, die vom BfV und NIS in den letzten zwei Jahren veröffentlicht wurde. Im März 2023 warnten die Behörden vor Kimsuky-Actors, die betrügerische Browsererweiterungen verwendeten, um die E-Mail-Postfächer von Benutzern zu stehlen. Kimsuky wurde im November 2023 von der US-Regierung sanktioniert.
Die Aktivitäten sind das Werk einer Vielzahl von nordkoreanischen Hacking-Einheiten, die unter dem weiten Schirm der Lazarus-Gruppe arbeiten und bekannt dafür sind, eine Vielzahl von Hacking-Operationen von Cyber-Spionage bis hin zu Krypto-Diebstählen, Ransomware und Lieferkettenangriffen durchzuführen, um ihre strategischen Ziele zu erreichen.