كشفت تقارير أمنية حديثة عن شن مجموعة لاذاروس (Lazarus)، المرتبطة بكوريا الشمالية، موجة جديدة من الهجمات السيبرانية الموجهة ضد شركات تصنيع الطائرات المسيرة والمتعاقدين الدفاعيين في أوروبا. يأتي هذا الهجوم في سياق سعي بيونغ يانغ المحتمل لتعزيز برنامجها الخاص للطائرات بدون طيار.
بدأت هذه الحملة، التي تم تتبعها تحت اسم “عملية الوظيفة الحلم” (Operation DreamJob)، في أواخر شهر مارس 2025، واستهدفت بشكل خاص المنظمات التي تعمل على تطوير تقنيات المركبات الجوية غير المأهولة في مناطق وسط وشرق أوروبا. ووفقًا لتحليلات خبراء الأمن السيبراني، فإن هذه الهجمات تعد جزءًا من جهود أوسع لكوريا الشمالية لتسريع تطوير طائراتها المسيرة، خاصة في ظل الاستثمارات المتزايدة في قدرات الحرب الحديثة التي لوحظت في الصراع بين روسيا وأوكرانيا.
عملية “الوظيفة الحلم”: استهداف شركات الطائرات المسيرة الأوروبية
تمثل هذه العملية تصعيدًا ملحوظًا في تكتيكات التجسس السيبراني، حيث تهدف إلى سرقة معلومات التصنيع الخاصة والملكية الفكرية من قطاعي الطيران والدفاع. وقد أكد الباحثون استهداف ثلاث شركات أوروبية، اثنتان منها متورطة بشكل كبير في تصميم طائرات مسيرة متطورة ذات دوار أحادي، وإنتاج مكونات حيوية للطائرات بدون طيار المستخدمة حاليًا في مناطق صراع نشطة. يتزامن توقيت هذه الهجمات مع جهود كوريا الشمالية المعلنة لإنتاج دفعات كبيرة من الطائرات المسيرة القتالية والاستطلاعية، التي تشبه نماذج غربية مثل MQ-9 Reaper وRQ-4 Global Hawk.
لاحظ محللو Welivesecurity أن البنية التحتية للبرمجيات الخبيثة المستخدمة في هذه الهجمات تعتمد على آليات تسليم متطورة تهدف إلى تجاوز الدفاعات الأمنية التقليدية. تبدأ الحملة بعمليات هندسة اجتماعية، وتحديدًا استخدام عروض عمل وهمية لمناصب مرموقة لخداع الموظفين لتنزيل مستندات مصابة بالبرمجيات الخبيثة (trojanized documents). بمجرد تشغيلها، تنشر البرمجيات الخبيثة سلسلة من الأدوات المتخصصة المصممة للحفاظ على الوصول المستمر وتجنب الكشف على الأنظمة المخترقة.
آلية العدوى البرمجية
تعتمد آلية العدوى الأساسية على تقنية “تحميل الـ DLL الجانبي” (DLL side-loading)، وهي طريقة تستغل تطبيقات ويندوز الشرعية لتحميل مكتبات خبيثة دون إثارة تنبيهات أمنية. وقد قام المهاجمون بدمج برمجياتهم الخبيثة في إصدارات مصابة من برامج مفتوحة المصدر شائعة، بما في ذلك TightVNC Viewer، قارئ MuPDF، وإضافات WinMerge. كشف أحد البرامج المسماة بالـ dropper (المُسقِط) عن اسم ملف داخلي مشبوه هو DroneEXEHijackingLoader.dll، مما يشير مباشرة إلى تركيز المهاجمين على تقنية الطائرات المسيرة.
الحمولة الرئيسية التي يتم نشرها عبر جميع الحوادث هي ScoringMathTea، وهو حصان طروادة للوصول عن بعد (RAT) يمنح المهاجمين سيطرة كاملة على الأجهزة المخترقة. توفر هذه البرمجية الخبيثة المتطورة حوالي 40 أمرًا مختلفًا للتلاعب بالنظام، وسرقة الملفات، ونشر حمولات إضافية. ما يجعل ScoringMathTea خطيرًا بشكل خاص هو قدرته على البقاء مشفرًا بالكامل على القرص، ولا يتم فك تشفيره إلا في الذاكرة أثناء التنفيذ، مما يجعل الاكتشاف التقليدي القائم على الملفات شبه مستحيل دون مراقبة سلوكية متقدمة.