Peretas Lazarus Korea Utara Serang Perusahaan Pertahanan Eropa Lewat Operasi “DreamJob”

Kelompok peretas yang didukung negara Korea Utara, Lazarus Group, kembali beraksi dengan menargetkan tiga perusahaan pertahanan di Eropa melalui kampanye siber terkoordinasi bertajuk Operation DreamJob. Serangan ini memanfaatkan umpan lowongan kerja palsu untuk mengelabui korban dan mendapatkan akses ke sistem internal perusahaan yang terlibat dalam pengembangan teknologi pesawat nirawak (UAV).

Modus Lama, Target Baru

Menurut laporan terbaru dari ESET, aktivitas Lazarus terdeteksi pada akhir Maret 2025, dengan sasaran utama perusahaan-perusahaan yang terlibat dalam pembuatan komponen militer dan sistem drone. Taktik ini bukan hal baru — Operation DreamJob telah digunakan oleh Lazarus selama beberapa tahun terakhir untuk menyerang berbagai sektor, mulai dari industri kripto, jurnalisme, hingga pertahanan dan kedirgantaraan.

Dalam skema ini, para peretas berpura-pura sebagai rekruter dari perusahaan ternama (baik nyata maupun fiktif), kemudian menghubungi target melalui email atau platform profesional dengan tawaran posisi strategis. Korban yang tertarik diarahkan untuk mengunduh file aplikasi atau plugin berbahaya, yang menjadi pintu masuk bagi malware Lazarus ke dalam sistem perusahaan.

Fokus pada Teknologi UAV dan Dukungan Militer ke Ukraina

ESET mencatat bahwa tiga perusahaan yang diserang mencakup:

• Sebuah perusahaan rekayasa logam di Eropa Tenggara
• Seorang produsen suku cadang pesawat di Eropa Tengah
• Sebuah perusahaan pertahanan yang juga berbasis di Eropa Tengah

Menariknya, seluruh perusahaan tersebut diketahui memproduksi peralatan militer yang digunakan di Ukraina, dan dua di antaranya secara langsung terlibat dalam pengembangan komponen dan perangkat lunak UAV. Aktivitas ini sejalan dengan upaya Korea Utara memperkuat program drone militernya, yang kabarnya “terinspirasi” oleh desain dan teknologi Barat.

Rantai Infeksi dan Teknik Eksploitasi

Analisis ESET menunjukkan bahwa serangan dimulai ketika korban menjalankan aplikasi open-source yang telah disusupi (trojanized), seperti MuPDF Viewer, Notepad++, TightVNC Viewer, libpcre, atau plugin WinMerge dan DirectX wrappers.

Teknik utama yang digunakan adalah DLL sideloading — metode penyusupan yang memanfaatkan aplikasi sah namun rentan untuk memuat payload berbahaya. Setelah aktif, malware mendekripsi komponen berikutnya langsung ke memori menggunakan rutinitas bergaya MemoryModule, yang mempersulit deteksi oleh antivirus tradisional.

Tahap akhir dari rantai serangan melibatkan Remote Access Trojan (RAT) bernama ScoringMathTea, yang berfungsi sebagai pintu kendali jarak jauh (command and control / C2) bagi peretas. Varian terbaru RAT ini mendukung hingga 40 perintah berbeda, memungkinkan Lazarus untuk:

• Mengeksekusi perintah sistem dan skrip lokal
• Mengunduh atau menanam malware tambahan
• Memanipulasi file dan proses
• Mengumpulkan informasi sistem
• Membuka koneksi TCP untuk komunikasi data

Dalam varian lain, Lazarus juga menggunakan loader bernama BinMergeLoader (MISTPEN) yang menyalahgunakan Microsoft Graph API untuk mengunduh payload tambahan dengan memanfaatkan token akses cloud.

Efektivitas Sosial Rekayasa Masih Tinggi

ESET menyoroti bahwa meskipun taktik Operation DreamJob telah beberapa kali dibongkar oleh peneliti keamanan, strategi rekayasa sosial ini tetap sangat efektif. Banyak korban masih tertipu oleh pendekatan personal yang terlihat profesional dan kredibel.

Perusahaan keamanan asal Slovakia itu juga telah merilis daftar lengkap indikator kompromi (IoC) — termasuk domain, hash file, dan alat berbahaya yang digunakan oleh kelompok Lazarus — untuk membantu organisasi pertahanan dan industri terkait meningkatkan sistem deteksi mereka.

Ancaman yang Terus Berkembang

Lazarus Group dikenal sebagai salah satu kelompok peretas paling aktif di dunia yang didukung oleh pemerintah Korea Utara. Selain sektor pertahanan, mereka juga sering dikaitkan dengan pencurian aset kripto, sabotase sistem keuangan, dan spionase industri.

Serangan terbaru terhadap perusahaan Eropa menegaskan bahwa Lazarus terus mengadaptasi taktiknya untuk memperoleh teknologi strategis yang relevan dengan ambisi militer negaranya — kali ini dengan fokus pada sistem drone dan otonomi tempur.

Sumber: ESET