文章总结： Lazarus组织发起梦想工作行动攻击欧洲无人机商，利用虚假招聘和DLL侧加载投递内存加密木马ScoringMathTea窃取国防技术。资讯还包括KONNI利用AI构建恶意软件、新型验证码骗局、能源行业钓鱼及Pwn2Own发现76个0day漏洞等。 综合评分： 75 文章分类： 威胁情报,恶意软件,社会工程学,漏洞预警,数据泄露

Lazarus 黑客组织积极攻击欧洲无人机制造公司

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月27日 09:00 湖北

导读

与曹县有关的Lazarus 高级威胁组织对欧洲无人机制造商和国防承包商发起新一轮定向攻击。

这项名为“梦想工作行动”的活动于 2025 年 3 月下旬启动，专门针对中欧和东南欧地区开发无人机技术的组织。

研究人员认为，这一活动是曹县为加速其国内无人机计划而采取的更广泛战略举措的一部分，尤其是在俄乌冲突中观察到曹县加大对现代战争能力的投资之后。

该行动标志着网络间谍活动策略的显著升级，其目的是窃取航空航天和国防领域的专有制造信息和知识产权。

已确认三家欧洲公司是攻击目标，其中至少两家深度参与了先进单旋翼无人机的设计以及目前部署在活跃冲突地区的关键无人机部件的生产。

这些袭击发生的时间与曹县相关的报道该国正在努力大规模生产类似于西方MQ-9“死神”和RQ-4“全球鹰”等型号的作战和侦察无人机的时间相吻合。

Welivesecurity 的分析师和研究人员指出，这些攻击中使用的恶意软件基础设施采用了复杂的传播机制，旨在规避传统的安全防御。

2025 年“梦想作业行动”执行链示例，交付 BinMergeLoader 和 ScoringMathTea

攻击始于社会工程，具体做法是利用虚假的知名职位招聘信息诱骗员工下载植入木马的文件。

一旦执行，该恶意软件就会部署一系列专门的工具，旨在保持对受感染系统的持久访问并避免被检测到。

感染机制

主要的感染机制依赖于DLL 侧加载，这是一种利用合法 Windows 应用程序加载恶意库而不触发安全警报的技术。

一个内部名称可疑、导出自合法微软库的投放器

攻击者已将恶意软件植入到流行的开源软件的木马版本中，包括 TightVNC Viewer、MuPDF 阅读器和 WinMerge 插件。

其中一个特别具有启发性的投放器包含内部文件名 DroneEXEHijackingLoader.dll，直接表明攻击者的活动重点是无人机技术。

所有事件中部署的主要有效载荷是 ScoringMathTea，这是一种远程访问木马，它使攻击者能够完全控制受感染的机器。

这种复杂的恶意软件提供了大约 40 种不同的命令，用于系统操控、文件窃取和进一步的有效载荷部署。

ScoringMathTea 特别危险的地方在于它能够在磁盘上保持完全加密，仅在执行期间在内存中解密，这使得如果没有高级行为监控，传统的基于文件的检测几乎不可能。

技术报告：

《Lazarus 瞄准无人机领域》

https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/

新闻链接：

Lazarus Hackers Actively Attacking European Drone Manufacturing Companies

今日安全资讯速递

APT事件

Advanced Persistent Threat

CheckPoint：与曹县关联的KONNI组织利用人工智能技术构建隐蔽的恶意软件

North Korea–linked KONNI uses AI to build stealthy malware tooling

Lazarus黑客组织积极攻击欧洲无人机制造公司

Lazarus Hackers Actively Attacking European Drone Manufacturing Companies

Lazarus黑客组织在新一轮采访活动利用虚假字体传播恶意软件

New DPRK Interview Campaign Leverages Fake Fonts to Deploy Malware

一般威胁事件

General Threat Incidents

新型伪造验证码骗局利用微软工具安装 Amatera 窃取程序

New Fake CAPTCHA Scam Abuses Microsoft Tools to Install Amatera Stealer

“SyncFuture”活动利用合法企业安全软件部署恶意软件

‘SyncFuture’ Campaign Weaponizing Legitimate Enterprise Security Software to Deploy Malware

“Stanley”工具包在俄罗斯黑客论坛出售，该工具包可伪造安全 URL

$6,000 “Stanley” Toolkit Sold on Russian Forums Fakes Secure URLs in Chrome

利用 SharePoint 发起的多阶段网络钓鱼和商业电子邮件诈骗活动针对能源行业

Energy sector targeted in multi-stage phishing and BEC campaign using SharePoint

耐克正在调查一起可能的数据泄露事件

Nike is investigating a possible data breach, after WorldLeaks claims

漏洞事件

Vulnerability Incidents

Apache Hadoop漏洞可能导致系统崩溃或数据损坏

Apache Hadoop Vulnerability Exposes Systems Potential Crashes or Data Corruption

Pwn2Own Automotive 2026 发现了 76 个0day漏洞

https://www.theregister.com/2026/01/25/pwn2own_automotive_2026_identifies_76_0days/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《Lazarus 黑客组织积极攻击欧洲无人机制造公司》