ESET Research: Lazarus-Gruppe zielt auf Europas Drohnenindustrie – Nordkorea nutzt Cyberangriffe zur Technologiebeschaffung
Am 23. Oktober 2025 veröffentlichte ESET Research neue Erkenntnisse über eine laufende Cyberspionagekampagne der Lazarus-Gruppe, die gezielt europäische Drohnen- und Rüstungsunternehmen ins Visier nimmt. Die Kampagne, Teil der bekannten Operation DreamJob, nutzt manipulierte Jobangebote und trojanisierte Softwarepakete, um Systeme zu kompromittieren und vertrauliche UAV-Technologien abzugreifen. Ziel sei laut ESET, Nordkoreas eigenes Drohnenprogramm zu beschleunigen und westliches Know-how für militärische Zwecke zu replizieren.
ESET identifizierte mindestens drei betroffene Unternehmen in Zentral- und Südosteuropa – darunter Hersteller von Flugzeugteilen, metallverarbeitende Betriebe sowie ein Verteidigungszulieferer, der Komponenten für unbemannte Luftfahrtsysteme (UAVs) produziert. Diese Firmen sind laut ESET Teil internationaler Lieferketten, die sowohl zivile als auch militärische Drohnentechnologien bereitstellen – einige davon werden nachweislich im Ukraine-Konflikt eingesetzt. Der Angriff reiht sich ein in eine Serie nordkoreanischer Operationen, die auf technologischen Vorsprung durch digitale Industriespionage zielen.
Die Angreifer setzten eine Kombination aus Social Engineering und Software-Manipulation ein. Mitarbeiter der Zielunternehmen erhielten gefälschte Bewerbungsdokumente oder wurden über LinkedIn mit attraktiven Jobangeboten angesprochen. Nach dem Öffnen der beigefügten Dateien installierte sich der Schadcode ScoringMathTea – ein Remote Access Trojan (RAT), der Zugriff auf interne Netzwerke, Datenbanken und Entwicklungsumgebungen ermöglicht. ESET dokumentierte darüber hinaus die Verwendung trojanisierter Open-Source-Software auf GitHub, die als infizierte Libraries oder Entwicklungstools verbreitet wurden.
Die Malware nutzt komplexe Multi-Staging-Loader, DLL-Proxys und verschlüsselte Kommandoübertragung, um ihre Spuren zu verwischen. Die ESET-Analyse zeigt, dass ScoringMathTea mehr als 40 Befehle ausführen kann – darunter Dateizugriffe, Screenshot-Erfassung, Systeminventarisierung und modulare Payload-Downloads. Besonders auffällig: Der Code enthielt Referenzen zu UAV-Begriffen und interne Funktionsnamen wie „DroneEXEHijackingLoader.dll“, was eine gezielte Fokussierung auf Luftfahrtsysteme nahelegt. Damit ist die Kampagne technisch und thematisch direkt mit dem UAV-Sektor verknüpft.
Laut ESET-Analyst Peter Kálnai deutet die Art der kompromittierten Daten auf ein Interesse an Flugsteuerungssoftware, Materialtechnologien und Sensorarchitekturen hin – Schlüsselfaktoren für den Aufbau fortschrittlicher Einrotor- und Kamikaze-Drohnen, die Nordkorea seit 2023 testet. Sicherheitsforscher sehen Parallelen zu früheren Angriffen auf Rüstungsunternehmen in Indien, Polen und Italien. Die jüngste Aktivität belegt eine strategische Neuausrichtung der Lazarus-Gruppe auf die Verteidigungsindustrie als Zielsektor – insbesondere auf Dual-Use-Technologien, die sich zivil und militärisch einsetzen lassen.
Sicherheitsforscher bewerten die Lazarus-Angriffe als Teil einer hybriden Beschaffungsstrategie Nordkoreas. Aufgrund internationaler Sanktionen greift das Regime zunehmend auf digitale Spionage zurück, um Zugang zu westlicher Technologie zu erlangen. „Diese Kampagne zeigt erneut, wie militärische Modernisierung und Cyberoperationen Hand in Hand gehen“, so Alexis Rapin von ESET Research. Er betont, dass sich Angriffe künftig vermehrt auf Automatisierung, Navigation und Kommunikationssysteme konzentrieren könnten. Auch die enge Verzahnung zwischen staatlichen Akteuren und Hackergruppen wird durch diesen Vorfall erneut bestätigt.
ESET rät betroffenen Organisationen, Sicherheitsrichtlinien zu verschärfen, Code-Integrität zu prüfen und Threat-Intelligence-Systeme zu implementieren. Insbesondere Unternehmen mit UAV-Bezug sollten auf LinkedIn-basierte Social-Engineering-Angriffe vorbereitet sein und Softwarelieferketten regelmäßig auf kompromittierte Module untersuchen. Langfristig sei es notwendig, Zero-Trust-Architekturen einzuführen und internationale Austauschprogramme für Cyberabwehr zwischen EU-Mitgliedstaaten zu stärken.
Fazit
Die Enthüllungen von ESET zeigen die zunehmende Verflechtung von Cyberkrieg, Spionage und Drohnentechnologie. Nordkoreas Lazarus-Gruppe nutzt gezielt die Offenheit westlicher Software-Ökosysteme und den Fachkräftemangel der Branche aus, um über Social Engineering an kritische Daten zu gelangen. Für die europäische UAV-Industrie bedeutet das: Cyberabwehr wird zur strategischen Voraussetzung technologischer Souveränität.
Weiterführende Quellen:
- ESET Research – „Gotta Fly: Lazarus targets the UAV sector“
- Help Net Security – „How Lazarus Group used fake job ads to spy on Europe’s drone and defense sector“
- North Korean Lazarus group targets the drone sector in Europe, likely for espionage, ESET Research discovers
Weitere Artikel zu Drohnensicherheit, Cyberabwehr und Verteidigungsindustrie:
- Auterion Artemis Drone 2025 – 1.000 Meilen Deep-Strike-System mit KI-Navigation und 40-kg-Gefechtskopf
- Private Drohnenabwehr 2025 in Deutschland – Recht, Technik & Praxis
- Anti-Drohnen-Plan 2025/2026: Bundesregierung will Zuständigkeiten und Abwehrstrategie neu ordnen
- Quantum Systems „Jäger“ – Deutschlands neue Abfangdrohne mit Raketenantrieb und AI-Autonomie
- Bundeswehr beauftragt Tytan Technologies mit KI-Drohnenabwehr
- Readiness 2030: EDDI-EU-Drohnenabwehr, Air/Space Shield, Ostflanke – Europas Milliardenplan im Härtetest
- Rheinmetall beginnt Serienproduktion der HERO-Loitering-Munition in Italien
- China: Drohnen-Show in Liuyang endet in Feuer-Chaos – Hunderte UAVs stürzen brennend ab
- FP-5 „Flamingo“ im Einsatz: Ukrainischer Marschflugkörper mit 3.000 km Reichweite – Technik, Präzision & Analyse
- DroneShield knackt 4.000 Systeme: Neues 4Q25-KI-Update für Drohnenabwehr
