- Cyberprzestępcy z grupy Lazarus szpiegowali przedsiębiorstwa z sektora przemysłu obronnego w Europie Środkowej – odkryli badacze ESET.
- Zaatakowane organizacje to producenci różnego rodzaju sprzętu wojskowego, w tym dronów i jego komponentów, z których wiele jest obecnie używanych w Ukrainie w ramach pomocy wojskowej państw europejskich.
- Infekując komputery pracowników firm, próbowali pozyskać wiedzę na temat technologii produkcji dronów.
- Te działania budzą obawy o bezpieczeństwo polskiego przemysłu obronnego, który będzie rozwijał technologie produkcji dronów, a w przeszłości był atakowany przez grupę Lazarus.
Działania szpiegowskie jako element szerszej strategii Korei Północnej
Północnokoreańscy cyberprzestępcy z grupy Lazarus kontynuują swoje działania wymierzone w europejskie kraje, sojuszników Ukrainy. Badacze ESET odkryli, że ostatnie działania były precyzyjnie skierowane w przemysł obronny, w tym sektor dronów. Ataki dotknęły m.in. trzy firmy z Europy Środkowej i Południowo-Wschodniej, a ich głównym celem była kradzież informacji poufnych i know-how, co jest zbieżne z niedawnymi doniesieniami o rozwoju północnokoreańskiego programu dronów. W drugiej połowie września przywódca Korei Północnej wyraził swoje zadowolenie z przeprowadzonych testów bojowych dronów, jednocześnie podkreślając, że drony stają się głównym orężem działań wojskowych, co czyni ich rozwój najwyższym priorytetem i ważnym zadaniem w modernizacji sił zbrojnych Korei Północnej.
– Znaleźliśmy dowody na to, że jeden z zaatakowanych podmiotów jest zaangażowany w łańcuch dostaw zaawansowanych dronów jednowirnikowych, czyli bezzałogowych śmigłowców. Jest to typ statku powietrznego, który Pjongjang aktywnie rozwija, ale jak dotąd nie był w stanie go zmilitaryzować – mówi Peter Kálnai, badacz ESET, który odkrył i przeanalizował te ataki.
Korea Północna w przeszłości w dużej mierze polegała na technologiach innych krajów i kradzieży własności intelektualnej, aby rozwijać swoje zdolności w zakresie produkcji dronów. Najnowsze doniesienia wskazują również, że flagowe drony rozpoznawcze i bojowe Pjongjangu (Saetbyol-4 i Saetbyol-9) wykazują uderzające podobieństwo do ich amerykańskich odpowiedników (RQ-4 Global Hawk i MQ-9 Reaper).
„Operacja Praca Marzeń” – nowa odsłona
Jak podkreślają badacze ESET, odkryte właśnie szpiegowskie działania północnokoreańskich cyberprzestępców stanowią kontynuację kampanii znanej pod kryptonimem „Operacja Praca Marzeń”.
– Działanie cyberprzestępców opiera się na metodach inżynierii społecznej, a jej dominującym motywem jest lukratywna, ale fałszywa oferta pracy. Potencjalna ofiara zazwyczaj otrzymuje zwodniczy dokument z opisem stanowiska oraz „niezbędne” narzędzia do otworzenia pliku z ofertą.. W plikach narzędzia najczęściej zaszyty jest trojan umożliwiający zdalny dostęp (RAT), dzięki któremu atakujący mogą uzyskać pełną kontrolę nad zainfekowanym urządzeniem – mówi Beniamin Szczepankiewicz, ekspert cyberbezpieczeństwa ESET.
Wcześniej, w 2023 r. działania oparte o podobną wersję złośliwego oprogramowania zostały wykryte w przypadku ataków na polską firmę zbrojeniową, co pokazuje, że Polska i jej przemysł stanowią bezpośredni cel grupy Lazarus.
Ataki z udziałem Korei Północnej i żołnierze w gotowości
Działania hakerów powiązanych z Pjongjangiem mogą mieć związek z wojną w Ukrainie i rozwojem północnokoreańskiego wsparcia Rosji w działaniach wojennych przeciwko Ukrainie i jej sojusznikom. Trzy zidentyfikowane przez ESET organizacje będące celem ataków produkują różnego rodzaju sprzęt wojskowy, z którego wiele jest obecnie wdrażanych w Ukrainie w ramach europejskiej pomocy wojskowej. Co najmniej jeden ze zidentyfikowanych celów jest zaangażowany w produkcję dwóch modeli bezzałogowców, które są obecnie używane podczas walk.
Północnokoreańscy żołnierze stanowią dla Rosji istotne wsparcie, a według CNN liczba 11 tysięcy walczących miała zostać zwiększona o kolejne 25-30 tys. żołnierzy[1].
Co więcej, brytyjska organizacja śledcza CAR (Conflict Armament Research) potwierdza, że w trakcie niedawnego ataku dronowego na Chersoń znaleziono amunicję wyprodukowaną w Korei Północnej[2].
Grupa Lazarus – wysoce aktywny gracz
Ataki na przemysł obronny w Europie mają charakter systemowy i przeprowadzane są przez wyspecjalizowane grupy APT, które koncentrują się w szczególności na podmiotach rządowych, sektorze obronnym i strategicznych branżach. Jednym z ich głównych założeń jest szeroko pojęte szpiegostwo gospodarcze, polityczne jak również sianie dezinformacji i paniki. Grupa Lazarus to czołowa grupa, powiązana z Koreą Północną. Jak wynika z danych ESET[3] grupy z Korei Północnej stanowią 14% tego typu formacji i są trzecią ważną siłą po Chinach (40,1%) oraz Rosji (25,7%)
Lazarus jest aktywny od co najmniej 2009 i jest odpowiedzialny za głośne cyberataki, m. in. na Sony Pictures Entertainment czy ransomware WannaCryptor (WannaCry) w 2017 roku, kiedy zainfekowanych zostało ponad 200 tys. komputerów w ponad 100 krajach.
[1] https://edition.cnn.com/2025/07/02/europe/north-korea-troops-russia-ukraine-intl-cmd
[2] https://edition.cnn.com/2025/10/17/europe/north-korea-submunition-russia-ukraine-intl
[3] https://web-assets.eset.com/fileadmin/ESET/US/B2B_Resource_centre/reports/APT_Activity_Report_Q4_2024-Q1_2025.pdf
