# Operation Dream Job > [!info] Campanha Ativa > Operation Dream Job permanece ativa desde 2020. O [[g0032-lazarus-group|Lazarus Group]] continua a empregar iscas de recrutamento contra setores de defesa, aeroespacial e tecnologia globalmente. Alertas do FBI, CISA e NSA reforçam a relevância operacional contínua desta campanha. ## Visão Geral A **Operation Dream Job** (também rastreada como Operation North Star pela McAfee) é uma das campanhas de engenharia social mais sofisticadas e duradouras do [[g0032-lazarus-group|Lazarus Group]] (DPRK), ativa desde pelo menos janeiro de 2020. A campanha utiliza iscas de recrutamento profissional para comprometer funcionários de organizações nos setores de defesa, aeroespacial e governamental - enviando falsas ofertas de emprego em nome de gigantes como Boeing, Lockheed Martin e BAE Systems. O diferencial da Dream Job em relação a campanhas de phishing convencionais é a **profundidade da engenharia social**: os atores criam perfis falsos no LinkedIn com histórico aparentemente legítimo, mantêm conversas com vítimas por semanas ou meses, conduzem entrevistas falsas por Skype (inclusive em espanhol para alvos de países latinos), e desenvolvem narrativas elaboradas antes de entregar o malware. Essa abordagem de baixa velocidade e alto investimento por alvo é característica de operações de espionagem estatal sofisticadas. O vetor de entrega inclui documentos Word com templaté injection ([[t1221-template-injection|T1221]]), links maliciosos para OneDrive e spearphishing via LinkedIn ([[t1566-003-spearphishing-via-service|T1566.003]]), com payloads como [[s0678-torisma|Torisma]] e [[dratazaurus|DRATzaurus]] como stagers e backdoors de segundo estágio. A comunicação C2 usa criptografia simétrica AES ([[t1573-001-symmetric-cryptography|T1573.001]]) e exfiltra dados para servidores comprometidos ou Dropbox via ferramentas customizadas. ## Attack Flow ```mermaid graph TB A["🎯 LinkedIn<br/>Perfil falso de recrutador<br/>(Boeing, Lockheed, BAE)"] --> B["📩 Contato inicial<br/>Oferta de emprego atrativa<br/>Conversas por semanas"] B --> C["📎 Entrega de payload<br/>Anexo Word com macros<br/>OU link OneDrive malicioso"] C --> D["⚙️ Templaté Injection<br/>DOCX carrega DOTM remoto<br/>Macro VBA executa payload"] D --> E["🔧 Stager instalado<br/>Torisma / DRATzaurus<br/>Persistência via Task Scheduler"] E --> F["🕵 Reconhecimento<br/>Enumeracao AD, contas<br/>Coleta de credenciais"] F --> G["📤 Exfiltração<br/>Arquivos RAR via dbxcli<br/>Dropbox como C2 secundario"] ``` ## Cronologia | Período | Evento | |---------|--------| | Ján 2020 | Inicio documentado pela ClearSky - alvos em defesa/aeroespacial | | Jul 2020 | McAfee pública Operation North Star - versao contra setores nucleares | | 2021 | ESET documenta extensao para alvos de cripto e TI (India, Australiia) | | 2022 | FBI/CISA/NSA emitem advisory conjunto - alerta de campanha ativa | | 2023-2024 | Evolução para trojanized apps de cripto (overlap com [[tradertraitor-campaign\|TraderTraitor]]) | | 2025+ | Campanha continua ativa com novos alvos em defesa, IA e blockchain | ## TTPs Principais - **Impersonacao** ([[t1656-impersonation|T1656]]): atores criam personas de RH de empresas de defesa tier-1 e conduzem entrevistas reais - **Contas em redes sociais** ([[t1585-001-social-media-accounts|T1585.001]]): dezenas de perfis falsos no LinkedIn atribuidos ao grupo - **Templaté Injection** ([[t1221-template-injection|T1221]]): DOCX carrega DOTM malicioso de servidor remoto, contornando macros bloqueadas - **Spearphishing via LinkedIn** ([[t1566-003-spearphishing-via-service|T1566.003]]): mensagens diretas a engenheiros e funcionarios de alto nivel - **Tarefa agendada** ([[t1053-005-scheduled-task|T1053.005]]): execução periodica de script XSL via WMIC renomeado como nvc.exe ## Vitimas e Impacto A campanha comprometeu organizacoes nos setores de defesa, aeroespacial, governo, energia e financeiro em pelo menos EUA, Israel, Australia, Russia e India. Em pelo menos um caso documentado, o grupo tentou monetizar o acesso via fraude de Business Email Compromise (BEC). Propriedade intelectual de defesa - blueprints, código de sistemas de armas, documentos classificationados - foi o principal objetivo. ## Relevância LATAM/Brasil O impacto direto confirmado no Brasil e América Latina e **moderado**. Porém a Operation Dream Job e diretamente relevante para a regiao por tres razoes: (1) empresas de defesa e aeroespacial brasileiras como Embraer, Avibras e fabricantes de munitions sao alvos potenciais - Israel e Australia sao alvos confirmados com perfil similar; (2) a abordagem de recrutamento via LinkedIn e amplamente eficaz contra profissionais brasileiros de TI e engenharia; (3) o overlap da campanha com operações de cripto afeta exchanges brasileiras. Funcionarios de organizacoes de defesa, aeroespacial e governo brasileiro devem estar alertas para convites de LinkedIn de recrutadores de empresas americanas de defesa que nunca foram contatados proativamente. ## Mitigação - Implementar treinamento de conscientizacao específico sobre iscas de LinkedIn/recrutamento - Bloquear macros de fontes externas via Group Policy - especialmente templaté injection de URLs remotas - Monitorar criação de Scheduled Tasks a partir de documentos Office ou scripts VBA - Restringir acesso do dbxcli e outras ferramentas de cloud storage de linha de comando - Aplicar MFA em todas as contas corporativas - o grupo realiza BEC após comprometimento ## Atores Envolvidos - [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte / DPRK - RGB) ## Técnicas Utilizadas - [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1656-impersonation|T1656 - Impersonation]] - [[t1585-001-social-media-accounts|T1585.001 - Social Media Accounts]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1221-template-injection|T1221 - Templaté Injection]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Referências - [MITRE ATT&CK C0022](https://attack.mitre.org/campaigns/C0022/) - [ClearSky - Operation Dream Job (2020)](https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf) - [FBI/CISA/NSA Joint Advisory - TraderTraitor (2022)](https://www.ic3.gov/CSA/2022/220418.pdf)