# Operation DreamJob > [!danger] Lazarus Group usa falsas ofertas de emprego para roubar segredos de defesa e cripto - ativo desde 2019 > A Operation DreamJob (MITRE C0022, também conhecida como Operation North Star e Operation Interception) e uma campanha de espionagem do [[g0032-lazarus-group|Lazarus Group]] ativa desde setembro de 2019 que utiliza engenharia social via LinkedIn e plataformas de emprego para comprometer alvos nos setores de defesa, aeroespacial, energia e financeiro. A campanha roubou propriedade intelectual militar/tecnológica e criptoativos em escala global, com alvos no Brasil confirmados. ## Visão Geral **Operation DreamJob** (também conhecida como Operation North Star e Operation Interception) é uma campanha de espionagem cibernética de longo prazo atribuída com alta confiança ao [[g0032-lazarus-group|Lazarus Group]], grupo vinculado à Coreia do Norte. A campanha utiliza engenharia social sofisticada baseada em falsas ofertas de emprego para comprometer alvos nos setores [[technology]], [[defense]], [[energy]] e [[financial]]. A campanha tem evoluído continuamente desde 2019, com atualizações significativas em seu arsenal de malware entre 2024 e 2025, incluindo novos loaders, backdoors modulares e técnicas de evasão cada vez mais sofisticadas. **Motivação inferida:** Espionagem e financeira - roubo de propriedade intelectual militar/tecnológica e financiamento do regime norte-coreano. **Relevância LATAM/Brasil:** Embora os alvos primários estejam fora da América Latina, empresas brasileiras dos setores de defesa e aeroespacial com parcerias internacionais representam alvos potenciais. A sofisticação das técnicas de engenharia social é relevante para conscientização em qualquer setor. ```mermaid gantt title Operation DreamJob - Lazarus Group dateFormat YYYY-MM section Fases Fase inicial (defesa EUA/Israel) :2019-09, 2022-08 Expansão para criptomoedas :2022-09, 2023-06 Arsenal Linux e novos loaders :2023-07, 2024-01 Alvos nucleares e CookiePlus :2024-01, 2025-03 Setor de drones europeu :2025-03, 2025-10 ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2019-09 | Primeiras atividades identificadas visando setor de defesa dos EUA e Israel | | 2020-07 | ESET e McAfee públicam análises sobre a campanha | | 2022-09 | Expansão para alvos no setor de criptomoedas | | 2023-03 | Novos loaders (DreamLoaders) identificados por Lab52 | | 2023-07 | Inclusão de malware para Linux no arsenal da campanha | | 2024-01 | Alvos no setor nuclear identificados, malware CookiePlus descoberto | | 2025-03 | Campanha atinge empresas de defesa europeias com novos TTPs | | 2025-10 | ESET documenta ataque ao setor de UAV (drones) europeu | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observação na Campanha | |--------|---------|-----|------------------------| | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Ofertas de emprego falsas via LinkedIn e email | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vítima executa PDF malicioso ou avaliação técnica trojanizada | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts de execução pós-comprometimento | | Persistence | Boot or Logon Autostart | [[t1547-boot-logon-autostart-execution\|T1547]] | Loaders registrados para execução automática | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Criptografia AES-128 e ChaCha20 em payloads | | Command and Control | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTPS | | Collection | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos e dados de projetos sensíveis | ## Malware e Ferramentas - [[scoringmathtea]] - RAT principal que fornece controle total sobre sistemas comprometidos - [[cookieplus]] - backdoor modular descoberto em 2024, disfarçado como plugin open-source - [[dreamloaders]] - família de loaders que utilizam DirectX Wrappers e plugins Notepad++ trojanizados - [[s0678-torisma|Torisma]] - implante de reconhecimento utilizado na fase inicial (2019-2020, MITRE C0022) - [[s0694-dratzarus|DRATzarus]] - downloader utilizado na fase inicial contra setores de defesa - [[s0174-responder|Responder]] - ferramenta de coleta de credenciais utilizada em intrusões de rede - **Aplicações open-source trojanizadas:** TightVNC Viewer, MuPDF (leitores de PDF), ferramentas de avaliação técnica - **Técnicas de carregamento:** AES-128 e ChaCha20 para decriptografia, MemoryModule para carregamento em memória ## Alvos e Impacto **Setores alvejados:** - [[defense]] - empresas de componentes aeronáuticos, fabricantes de drones (UAV), contratadas de defesa - [[technology]] - empresas de software e engenharia - [[energy]] - organizações do setor nuclear (identificado em 2024) - [[financial]] - empresas de criptomoedas e fintech **Países com vítimas confirmadas:** - EUA, Israel - alvos iniciais no setor de defesa e aeroespacial - Europa (múltiplos países) - empresas de engenharia metálica, componentes aeronáuticos, defesa - Coreia do Sul - setor de tecnologia e defesa **Impacto documentado:** - Roubo de propriedade intelectual militar e tecnológica - Comprometimento de redes corporativas de empresas de defesa europeias - Potencial acesso a informações sensíveis do setor nuclear ## Resposta e Mitigação **Ações de resposta documentadas:** - 2020-07: ESET e McAfee públicaram análises detalhadas do modus operandi - 2024-01: Kaspersky públicou análise do CookiePlus e novos TTPs - 2025-03: ESET públicou alerta sobre campanha contra setor de defesa europeu - 2025-10: Orange Cyberdefense públicou relatório detalhado do arsenal DreamJob **Recomendações de mitigação:** - Treinar funcionários para reconhecer ofertas de emprego suspeitas via LinkedIn - Bloquear execução de aplicativos não autorizados (Application Whitelisting) - Monitorar processos que carregam DLLs de diretórios incomuns - Implementar restrições de execução para plugins de Notepad++ e outros editores - Verificar integridade de ferramentas open-source antes de execução **Atores:** [[g0032-lazarus-group|Lazarus Group]] **TTPs chave:** [[t1566-phishing|T1566 - Phishing]] · [[t1204-user-execution|T1204 - User Execution]] · [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] **Malware:** [[scoringmathtea]] · [[cookieplus]] · [[dreamloaders]] **Setores impactados:** [[defense]] · [[technology]] · [[energy]] · [[financial]] **Campanhas relacionadas:** [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] --- ## Relevância LATAM/Brasil Embora os alvos primários da Operation DreamJob estejam concentrados em EUA, Israel, Europa e Coreia do Sul, empresas brasileiras dos setores de defesa e aeroespacial - incluindo Embraer, Odebrecht Defense e contratadas governamentais - representam alvos potenciais. O Brasil possui um complexo industrial de defesa crescente e parcerias com países alvejados pelo Lazarus. As técnicas de engenharia social via LinkedIn são diretamente aplicáveis ao mercado brasileiro. Profissionais brasileiros de engenharia de software, segurança e aeroespacial devem estar alertas para ofertas de emprego não solicitadas de empresas desconhecidas, especialmente aquelas que pedem execução de "testes técnicos" ou "avaliações de código". *Fonte: MITRE ATT&CK - Operation DreamJob C0022* *Fonte: [ESET - Lazarus Targets UAV Sector](https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/)* *Fonte: [Kaspersky - CookiePlus Malware Discovery](https://www.kaspersky.com/about/press-releases/kaspersky-discovers-lazarus-apt-targets-nuclear-organizations-with-new-cookieplus-malware)* *Fonte: [Lab52 - DreamLoaders Analysis](https://lab52.io/blog/dreamloaders/)*