文章总结： Lazarus组织发起梦想行动攻击欧洲无人机制造商窃取国防技术。攻击利用虚假职位招聘进行社会工程学诱骗，通过DLL侧载技术木马化开源软件并植入ScoringMathTea远控木马以实现长期控制。建议相关企业强化人员安全意识与供应链防护，严防不明软件下载及邮件钓鱼。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学

Lazarus黑客积极攻击欧洲无人机制造公司

原创

O安全研究员 O安全研究员

O安全研究员

2026年1月26日 20:07 广东

Lazarus是一个与朝鲜结盟的复杂黑客组织，也被称为HIDDEN COBRA，发起了新一轮针对欧洲无人机制造商和国防承包商的定向攻击。

该活动被称为“梦想行动”，于2025年3月底出现，特别针对中欧和东南欧开发无人机技术的组织。

研究人员认为，这一活动是朝鲜加快国内无人机项目的更广泛战略努力的一部分，尤其是在俄乌冲突中观察到现代战争能力投资增加之后。

该行动标志着网络间谍战术的显著升级，旨在窃取航空航天和国防领域的专有制造信息和知识产权。

三家欧洲公司已被确认为目标，其中至少有两家深度参与设计先进单旋翼无人机和生产目前部署在活跃冲突区的关键无人机部件。

这些袭击的时间点恰逢朝鲜据称正努力大规模生产类似西方型号的MQ-9死神和RQ-4全球鹰的战斗和侦察无人机。

Welivesecurity的分析师和研究人员指出，这些攻击中使用的恶意软件基础设施采用了复杂的传输机制，旨在规避传统安全防御。

攻击始于社会工程学，特别是利用虚假的职位邀请诱使员工下载被特洛伊文件化的文件。

一旦执行，恶意软件会部署一系列专门工具，旨在保持持续访问并避免被入侵系统被发现。

感染机制

主要的感染机制依赖于DLL侧载，这是一种利用合法Windows应用程序加载恶意库而不触发安全警报的技术。

攻击者将他们的恶意软件集成到流行开源软件的木马化版本中，包括TightVNC Viewer、MuPDF阅读器和WinMerge插件。

其中一个特别有暗示的滴管包含了内部文件名DroneEXEHijackingLoader.dll，直接指涉攻击者对无人机技术的宣传。

所有事件中部署的主要有效载荷是ScoringMathTea，一款远程访问木马，为攻击者提供对被攻破机器的完全控制权。

这种复杂的恶意软件提供了大约40种不同的系统作、文件泄露和进一步有效载荷部署命令。

ScoringMathTea特别危险的是它能够在磁盘上完全加密，仅在执行时在内存中解密，这使得传统的基于文件的检测几乎不可能，除非有先进的行为监控。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员 O安全研究员《Lazarus黑客积极攻击欧洲无人机制造公司》