Nordkoreanische Hacker zielen auf europäische Drohnenhersteller

Forscher des europäischen IT-Sicherheitsherstellers ESET haben herausgefunden: Hacker mit Verbindungen nach Nordkorea haben Europas Drohnenindustrie seit März 2025 stark im Fokus. Die Cyberkriminellen der Lazarus-Gruppe haben es vorrangig auf sensibles technisches Knowhow abgesehen, um damit militärische Geheimnisse zu stehlen. Die Kampagne\“DreamJob\“, so der Name, unter dem die Forscher die Aktionen zusammenfassen, nutzt ausgeklügelte Social-Engineering-Methoden, um sich Zugang zu vertraulichen Daten zu verschaffen.

Die Angreifer setzen auf täuschend echte Jobangebote für hochrangige Positionen. So schleusen sie manipulierte Dateien in Unternehmensnetzwerke ein. Besonders betroffen sind Firmen, die Komponenten und Software für UAVs (Unmanned Aerial Vehicles) entwickeln – darunter auch Systeme, die aktuell in der Ukraine eingesetzt werden.

\“Die gezielten Angriffe auf europäische Unternehmen zeigen einmal mehr, wie eng Cyberkriminalität und geopolitische Interessen miteinander verknüpft sind\“, sagt Peter Kalnai, Sicherheitsforscher bei ESET.\“Wenn staatlich gelenkte Hackergruppen wie Lazarus auf Drohnentechnologie aus Europa abzielen, geht es nicht nur um Daten – sondern um strategische Vorteile auf dem Schlachtfeld.\“

ESET warnt: Drohnenbranche im Visier

\“Die Angriffe zeigen deutlich, dass Nordkorea wahrscheinlich gezielt Know-how aus der europäischen Drohnenindustrie abgreifen will\“, schließt Kalnai ab.\“Unternehmen in diesem Sektor sollten ihre Sicherheitsmaßnahmen dringend überprüfen.\“

Die ESET Experten empfehlen, besonders bei Jobangeboten für hochrangige Positionen wachsam zu sein. Denn Social Engineering bleibt eine der effektivsten Methoden für Cyberangriffe.

Technik aus Europa für Drohnen aus Nordkorea?

Die aktuelle Angriffswelle der Lazarus-Gruppe fällt in eine Zeit wachsender geopolitischer Spannungen. Die betroffenen Unternehmen liefern Komponenten für militärische Systeme, die unter anderem in der Ukraine eingesetzt werden. Darüber hinaus kämpften auch nordkoreanische Soldaten (https://www.spiegel.de/ausland/ukraine-krieg-nordkoreanische-soldaten-wurden-laut-kyjiw-offenbar-abgezogen-a-dd8d9d69-7a0b-441d-9e1e-0d2968eac297) seit Ende 2024 in der Ukraine und sahen sich dort massiven Drohnenangriffen ausgesetzt, bevor sie Anfang 2025 wieder abgezogen wurden. Ihre Erfahrungsberichte können einer der Gründe sein, warumdie militärische Führung in Nordkorea noch stärker in die eigene Drohnenproduktion investiert (https://www.tagesschau.de/ausland/asien/nordkorea-massenproduktion-drohnen-100.html) und sie hochfährt.

Zugleich mangelt es dem isolierten Land an technischer Expertise, weswegen es westliche Drohnenhersteller ausspioniert und kopiert. Die Angriffe innerhalb von Operation DreamJob sind somit nicht nur ein Fall von Industriespionage, sondern Teil eines größeren geopolitischen Spiels, in dem digitale Angriffe zur Waffe werden.

Trojanisierte Open-Source-Software als Einfallstor

Die Lazarus-Gruppe nutzt eine besonders hinterlistige Methode: Sie tarnen sich mit gefälschten Jobangeboten für attraktive Positionen in der Luftfahrt- und Verteidigungsbranche. Wer auf das Angebot reagiert, erhält manipulierte Dateien, zum Beispiel scheinbar harmlose PDF-Dokumente oder Software-Plugins. Diese enthalten versteckte Schadprogramme, die sich unbemerkt auf dem Rechner installieren.

Hierfür greifen die Hacker auf Plugins für bekannte Open-Source-Projekte zurück, die sie heimlich verändern. So schleusen sie ihre Schadsoftware über Programme wie Notepad++ oder WinMerge ein. Das eigentliche Schadprogramm, der\“Remote-Access-Trojaner (RAT)\“ScoringMathTea, bleibt unsichtbar auf der Festplatte.

Besonders brisant: Eine Komponente trägt den internen Namen\“DroneEXEHijackingLoader.dll\“. Das ist ein klarer Hinweis auf das Ziel der Kampagne.

Das istüber die Hacker bekannt

Die nordkoreanische Hackergruppe Lazarus (Guardians of Peace oder auch APT38) gehört zu den wohl bekanntesten und auch gefährlichsten Gruppen der Welt. Ihren Namen verdankt sie der Tatsache, dass sie immer wieder aktiv wird, selbst wenn sie scheinbar besiegt wurde – so wie ihr biblischer Namensgeber.

In der jüngeren Vergangenheit waren europäische Unternehmen aus der Luft- und Raumfahrt Opfer gezielter Spionagekampagnen aus Nordkorea. Schon 2023 griff Lazarus ein Luft- und Raumfahrtunternehmen in Spanien (https://www.welivesecurity.com/de/eset-research/lazarus-lockt-mitarbeiter-mit-trojanisierten-programmieraufgaben-der-fall-eines-spanischen-luft-und-raumfahrtunternehmens/) an, um Cyberspionage zu betreiben.

Weitere Informationen gibt es im aktuellen Blogpost\“Drohn-Gebärden aus Nordkorea: Lazarus greift europäische UAV-Hersteller an (https://www.welivesecurity.com/drohn-gebarden-aus-nordkorea-lazarus-greift-europaische-uav-hersteller-an)\“

Pressekontakt:

ESET Deutschland GmbH

Christian Lueg
Head of Communication&PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de

Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de

Folgen Sie ESET:
https://www.ESET.de

ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland

Original-Content von: ESET Deutschland GmbH,übermittelt durch news aktuell

Posted by on 23. Oktober 2025.

Tags: europa, industrie, itsecurity, milit-r, neuer-ffnung, weihnachten

Categories: Allgemein

No Responses Yet

You must be logged in to post a comment.