dreamloaders - RunkIntel

# DreamLoaders > [!high] Loaders Modulares do Lazarus Group - Operação DreamJob 2025 > DreamLoaders é o termo cunhado pelo Lab52 para descrever o conjunto de **loaders modulares** utilizados pelo [[lazarus-group]] na [[operation-dreamjob|Operação DreamJob]] em 2025 contra empresas de defesa europeias. Os loaders utilizam **DLL sideloading** de binários legítimos do Windows e a **Microsoft Graph API** (SharePoint) como canal de Comando e Controle, tornando a comunicação práticamente indistinguível de tráfego corporativo normal. ## Visão Geral DreamLoaders é a denominação coletiva criada por pesquisadores do Lab52 para um conjunto de loaders DLL utilizados pelo [[lazarus-group]], o grupo de ameaça persistente avançada norte-coreano, em campanhas recentes de espionagem industrial. O termo "Dream" deriva da [[operation-dreamjob|Operação DreamJob]], campanha contínua do Lazarus que utiliza falsas ofertas de emprego para engenheiros de defesa e aeroespacial como vetor inicial de engajamento. A sofisticação dos DreamLoaders reside em dois aspectos principais. Primeiro, o uso extensivo de DLL sideloading via binários legítimos assinados do Windows - os loaders são carregados por executáveis como `wkspbroker.exe`, `wksprt.exe` e instaladores trojanizados do TightVNC, tornando a detecção por comportamento muito mais difícil pois o processo pai é legítimo. Segundo, o uso da Microsoft Graph API como canal de C2 via SharePoint: todo o tráfego de comando e controle aparece como comúnicações normais com Microsoft 365, impossibilitando bloqueio sem afetar produtividade. Os componentes identificados incluem: **TSVIPSrv.dll** (loader de primeiro estágio via serviço TSVIP), **Webservices.dll** (loader carregado por serviço Windows legítimo), **radcui.dll** (loader via Remote Desktop Connection), e **HideFirstLetter.dll** (loader com técnica de ocultação de bytes iniciais para evasão de detecção). O TightVNC trojanizado (`tnsviewer.exe`) serviu como vetor de entrega em algumas campanhas documentadas. As campanhas DreamJob com esses loaders foram documentadas contra empresas de defesa na Europa em 2025, com foco em organizações que desenvolvem tecnologias de armas, sistemas de radar e equipamentos militares. Dado o interesse estratégico da Coreia do Norte em evasão de sanções e desenvolvimento militar, a expansão para outros alvos industriais é esperada. ## Como Funciona **Vetor de entrega (Engenharia Social):** 1. Contato via LinkedIn com oferta de emprego irresistível para engenheiros de defesa 2. Entrevista falsa com exercício técnico: "análise este arquivo" ou "compile este projeto" 3. O arquivo para "análise" é o instalador trojanizado do TightVNC ou documento com macro 4. Uma vez executado, o DreamLoader é instalado silenciosamente **Cadeia de carregamento (DLL Sideloading):** 1. Binário legítimo do Windows (wkspbroker.exe, wksprt.exe) é executado 2. O binário legítimo busca DLL dependência em diretório controlável pelo atacante 3. A DLL maliciosa (TSVIPSrv.dll, Webservices.dll, etc.) é carregada no contexto do processo legítimo 4. O loader decripta payload de segundo estágio da memória ou de arquivo local **C2 via Microsoft Graph API:** 1. O loader autentica na Microsoft Graph API usando token OAuth2 embutido 2. Comandos são lidos de arquivo no SharePoint da organização-alvo (ou de tenant controlado) 3. Resultados são escritos de volta no SharePoint como arquivos "normais" 4. Todo o tráfego usa HTTPS para `graph.microsoft.com` - indistinguível de uso corporativo legítimo ## Attack Flow ```mermaid graph TB A["LinkedIn DreamJob Engenheiro de defesa recebe proposta"] --> B["TightVNC Trojanizado Instalador malicioso enviado por email"] B --> C["DLL Sideloading wkspbroker.exe carrega TSVIPSrv.dll"] C --> D["Loader Decripta Payload segundo estagio em memoria"] D --> E["MS Graph API C2 SharePoint como canal de comando"] E --> F["Espionagem Documentos tecnicos de defesa exfiltrados"] F --> G["Movimento Lateral Credenciais AD para novos sistemas"] G --> H["Persistência longa Meses sem detecção em redes de defesa"] ``` **Legenda:** [[lazarus-group]] · [[operation-dreamjob]] · [[apt38]] · [[t1574-002-dll-side-loading|T1574.002]] · [[t1102-001-dead-drop-resolver|T1102.001]] ## Timeline ```mermaid timeline title DreamLoaders / Operação DreamJob - Linha do Tempo 2019 : Operation DreamJob comeca : Primeiras ofertas de emprego falsas : Alvos no setor cripto 2020-2022 : Expansao de alvos : Defesa e aeroespacial : Novas variantes de loaders 2023 : DLL sideloading refinado : Novos binarios Windows usados : Campanhas na Europa 2025-01 : DreamLoaders documentados : Lab52 publica pesquisa : TSVIPSrv.dll, HideFirstLetter.dll 2025 : MS Graph API como C2 : Técnica nova documentada : Empresas de defesa europeias 2025 : TightVNC trojanizado : Vetor de entrega confirmado : Vigilancia aumentada em Europa ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | DLLs maliciosas carregadas por binários legítimos do Windows | | Dead Drop Resolver | [[t1102-001-dead-drop-resolver\|T1102.001]] | Microsoft Graph API/SharePoint como canal C2 | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads de segundo estágio | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts de pós-exploração e reconhecimento | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | HideFirstLetter.dll oculta bytes iniciais do loader | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | OAuth tokens embutidos para Microsoft Graph API | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTPS para graph.microsoft.com | ## Relevância para o Brasil e LATAM > [!latam] Embraer e Cadeia Aeroespacial Brasileira como Alvos Estratégicos > A **Embraer** e fornecedores da cadeia aeroespacial brasileira são alvos de interesse estratégico para a Coreia do Norte, que busca tecnologia de aviação. Engenheiros brasileiros no LinkedIn que recebem propostas de "emprego remoto em empresa europeia" são vetores diretos da abordagem DreamJob. O **Microsoft Graph API como C2** (via SharePoint) é indistinguível de tráfego corporativo legítimo para equipes SOC brasileiras. A Operação DreamJob e os DreamLoaders têm relevância crescente para o Brasil: **Alvos estratégicos brasileiros:** - [[embraer|Embraer]] e fornecedores da cadeia aeroespacial brasileira são alvos de interesse estratégico para a Coreia do Norte, que busca tecnologia de aviação e sistemas de armas - O [[government|governo]] brasileiro e a indústria de defesa nacional (IMBEL, Marinha do Brasil, Exército) operam projetos tecnológicos críticos que representam valor de inteligência - Engenheiros brasileiros na diáspora trabalhando em empresas de defesa europeias são alvos diretos do vetor LinkedIn **Técnica de engenharia social:** - O LinkedIn é amplamente usado por profissionais técnicos brasileiros, criando superfície de ataque para a abordagem DreamJob - A oferta de "emprego remoto em empresa europeia" é especialmente atrativa para engenheiros brasileiros de alta qualificação - A [[lgpd|LGPD]] e frameworks de segurança como ISO 27001 não contemplam explicitamente o risco de "entrevista maliciosa" **Microsoft Graph API como C2:** - Empresas brasileiras que não monitoram tráfego específico para `graph.microsoft.com` (separado do uso legítimo) seriam vulneráveis à técnica de C2 via SharePoint - O [[financial|setor financeiro]] e [[technology|tecnologia]] brasileiros, usuários pesados do Microsoft 365, têm exposição a esta técnica ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - DreamLoaders (TLP:GREEN) > **DLLs suspeitas (por nome):** > TSVIPSrv.dll, Webservices.dll, radcui.dll, HideFirstLetter.dll > DLLs no mesmo diretório de wkspbroker.exe, wksprt.exe ou rdpclip.exe > > **Comportamento:** > wkspbroker.exe ou wksprt.exe iniciados fora de sessão RDP legítima > TightVNC (tnsviewer.exe) instalado fora de processos de TI autorizados > Requisições OAuth para graph.microsoft.com com tokens de aplicativo não reconhecidos > > **Fonte:** Lab52 Research · ESET · Kaspersky GReAT **Mitigações recomendadas:** - Implementar controle de DLL loading com [[m1044-restrict-library-loading|M1044]] para binários sensíveis do Windows - Monitorar autenticações Microsoft Graph API via [[ds0028-logon-session|DS0028]] para aplicativos não sancionados - Aplicar [[m1017-user-training|M1017]] específico sobre abordagens via LinkedIn para engenheiros de defesa - Usar [[m1049-antivirus|M1049]] com regras YARA para DLLs com bytes iniciais ocultos (técnica HideFirstLetter) - Implementar Conditional Access no Azure AD para bloquear tokens OAuth de aplicativos não reconhecidos ## Referências - [1](https://lab52.io/blog/lazarus-group-dreamloaders/) Lab52 - DreamLoaders: Lazarus Group New Loader Toolset (2025) - [2](https://www.eset.com/int/about/newsroom/press-releases/research/lazarus-group-targets-defense-companies-with-fake-job-offers/) ESET - Lazarus Group DreamJob Campaign Analysis (2025) - [3](https://www.microsoft.com/en-us/security/blog/2021/01/28/zinc-attacks-against-security-researchers/) Microsoft - ZINC (Lazarus) DreamJob Campaign (2021) - [4](https://attack.mitre.org/campaigns/C0022/) MITRE ATT&CK - Operation DreamJob Campaign - [5](https://securelist.com/lazarus-group-operation-dreamjob/107898/) Kaspersky Securelist - Lazarus Operation DreamJob Technical Analysis - [6](https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group) Malpedia - Lazarus Group Entry