Computer und Informationstechnologie, ComputerkriminalitÀt

Nordkoreanische Hacker zielen auf europÀische Drohnenhersteller

23.10.2025 - 06:15:00

Jena - Forscher des europĂ€ischen IT-Sicherheitsherstellers ESET haben herausgefunden: Hacker mit Verbindungen nach Nordkorea haben Europas Drohnenindustrie seit MĂ€rz 2025 stark im Fokus. Die Cyberkriminellen der Lazarus-Gruppe haben es vorrangig auf sensibles technisches Knowhow abgesehen, um damit militĂ€rische Geheimnisse zu stehlen. Die Kampagne "DreamJob", so der Name, unter dem die Forscher die Aktionen zusammenfassen, nutzt ausgeklĂŒgelte Social-Engineering-Methoden, um sich Zugang zu vertraulichen Daten zu verschaffen.

Die Angreifer setzen auf tĂ€uschend echte Jobangebote fĂŒr hochrangige Positionen. So schleusen sie manipulierte Dateien in Unternehmensnetzwerke ein. Besonders betroffen sind Firmen, die Komponenten und Software fĂŒr UAVs (Unmanned Aerial Vehicles) entwickeln – darunter auch Systeme, die aktuell in der Ukraine eingesetzt werden.

"Die gezielten Angriffe auf europĂ€ische Unternehmen zeigen einmal mehr, wie eng CyberkriminalitĂ€t und geopolitische Interessen miteinander verknĂŒpft sind", sagt Peter Kalnai, Sicherheitsforscher bei ESET. "Wenn staatlich gelenkte Hackergruppen wie Lazarus auf Drohnentechnologie aus Europa abzielen, geht es nicht nur um Daten – sondern um strategische Vorteile auf dem Schlachtfeld."

ESET warnt: Drohnenbranche im Visier

"Die Angriffe zeigen deutlich, dass Nordkorea wahrscheinlich gezielt Know-how aus der europĂ€ischen Drohnenindustrie abgreifen will", schließt Kalnai ab. "Unternehmen in diesem Sektor sollten ihre Sicherheitsmaßnahmen dringend ĂŒberprĂŒfen."

Die ESET-Experten empfehlen, besonders bei Jobangeboten fĂŒr hochrangige Positionen wachsam zu sein. Denn Social Engineering bleibt eine der effektivsten Methoden fĂŒr Cyberangriffe.

Technik aus Europa fĂŒr Drohnen aus Nordkorea?

Die aktuelle Angriffswelle der Lazarus-Gruppe fĂ€llt in eine Zeit wachsender geopolitischer Spannungen. Die betroffenen Unternehmen liefern Komponenten fĂŒr militĂ€rische Systeme, die unter anderem in der Ukraine eingesetzt werden. DarĂŒber hinaus kĂ€mpften auch nordkoreanische Soldaten ( https://www.spiegel.de/ausland/ukraine-krieg-nordkoreanische-soldaten-wurden-laut-kyjiw-offenbar-abgezogen-a-dd8d9d69-7a0b-441d-9e1e-0d2968eac297 ) seit Ende 2024 in der Ukraine und sahen sich dort massiven Drohnenangriffen ausgesetzt, bevor sie Anfang 2025 wieder abgezogen wurden. Ihre Erfahrungsberichte können einer der GrĂŒnde sein, warum die militĂ€rische FĂŒhrung in Nordkorea noch stĂ€rker in die eigene Drohnenproduktion investiert ( https://www.tagesschau.de/ausland/asien/nordkorea-massenproduktion-drohnen-100.html ) und sie hochfĂ€hrt.

Zugleich mangelt es dem isolierten Land an technischer Expertise, weswegen es westliche Drohnenhersteller ausspioniert und kopiert. Die Angriffe innerhalb von Operation DreamJob sind somit nicht nur ein Fall von Industriespionage, sondern Teil eines grĂ¶ĂŸeren geopolitischen Spiels, in dem digitale Angriffe zur Waffe werden.

Trojanisierte Open-Source-Software als Einfallstor

Die Lazarus-Gruppe nutzt eine besonders hinterlistige Methode: Sie tarnen sich mit gefĂ€lschten Jobangeboten fĂŒr attraktive Positionen in der Luftfahrt- und Verteidigungsbranche. Wer auf das Angebot reagiert, erhĂ€lt manipulierte Dateien, zum Beispiel scheinbar harmlose PDF-Dokumente oder Software-Plugins. Diese enthalten versteckte Schadprogramme, die sich unbemerkt auf dem Rechner installieren.

HierfĂŒr greifen die Hacker auf Plugins fĂŒr bekannte Open-Source-Projekte zurĂŒck, die sie heimlich verĂ€ndern. So schleusen sie ihre Schadsoftware ĂŒber Programme wie Notepad++ oder WinMerge ein. Das eigentliche Schadprogramm, der "Remote-Access-Trojaner (RAT) "ScoringMathTea, bleibt unsichtbar auf der Festplatte.

Besonders brisant: Eine Komponente trÀgt den internen Namen "DroneEXEHijackingLoader.dll". Das ist ein klarer Hinweis auf das Ziel der Kampagne.

Das ist ĂŒber die Hacker bekannt

Die nordkoreanische Hackergruppe Lazarus (Guardians of Peace oder auch APT38) gehört zu den wohl bekanntesten und auch gefĂ€hrlichsten Gruppen der Welt. Ihren Namen verdankt sie der Tatsache, dass sie immer wieder aktiv wird, selbst wenn sie scheinbar besiegt wurde – so wie ihr biblischer Namensgeber.

In der jĂŒngeren Vergangenheit waren europĂ€ische Unternehmen aus der Luft- und Raumfahrt Opfer gezielter Spionagekampagnen aus Nordkorea. Schon 2023 griff Lazarus ein Luft- und Raumfahrtunternehmen in Spanien ( https://www.welivesecurity.com/de/eset-research/lazarus-lockt-mitarbeiter-mit-trojanisierten-programmieraufgaben-der-fall-eines-spanischen-luft-und-raumfahrtunternehmens/ ) an, um Cyberspionage zu betreiben.

Weitere Informationen gibt es im aktuellen Blogpost "Drohn-GebÀrden aus Nordkorea: Lazarus greift europÀische UAV-Hersteller an ( https://www.welivesecurity.com/drohn-gebarden-aus-nordkorea-lazarus-greift-europaische-uav-hersteller-an )".

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: [email protected] Website: www.eset.de

@ pressetext.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.