SHA-1 Filename Detection Description
28978E987BC59E75CA22562924EAB93355CF679E TSMSISrv.dll Win64/NukeSped.TL QuanPinLoader.
5E5BBA521F0034D342CC26DB8BCFECE57DBD4616 libmupdf.dll Win64/NukeSped.TE Загрузчик, маскирующийся под библиотеку рендеринга MuPDF v3.3.3.
B12EEB595FEEC2CFBF9A60E1CC21A14CE8873539 radcui.dll Win64/NukeSped.TO Дроппер, маскирующийся под библиотеку RemoteApp and Desktop Connection UI Component.
26AA2643B07C48CB6943150ADE541580279E8E0E HideFirstLetter.DLL Win64/NukeSped.TO BinMergeLoader.
0CB73D70FD4132A4FF5493DAA84AAE839F6329D5 libpcre.dll Win64/NukeSped.TP Загрузчик, который является троянизированной библиотекой libpcre.
03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4 webservices.dll Win64/NukeSped.RN Дроппер, маскирующийся под библиотеку Microsoft Web Services Runtime.
71D0DDB7C6CAC4BA2BDE679941FA92A31FBEC1FF N/A Win64/NukeSped.RN ScoringMathTea.
87B2DF764455164C6982BA9700F27EA34D3565DF webservices.dll Win64/NukeSped.RW Дроппер, маскирующийся под библиотеку Microsoft Web Services Runtime.
E670C4275EC24D403E0D4DE7135CBCF1D54FF09C N/A Win64/NukeSped.RW ScoringMathTea.
B6D8D8F5E0864F5DA788F96BE085ABECF3581CCE radcui.dll Win64/NukeSped.TF Загрузчик, маскирующийся под библиотеку RemoteApp and Desktop Connection UI Component.
5B85DD485FD516AA1F4412801897A40A9BE31837 RCX1A07.tmp Win64/NukeSped.TH Загрузчик зашифрованного ScoringMathTea.
B68C49841DC48E3672031795D85ED24F9F619782 TSMSISrv.dll Win64/NukeSped.TL QuanPinLoader.
AC16B1BAEDE349E4824335E0993533BF5FC116B3 cache.dat Win64/NukeSped.QK Расшифрованный RAT ScoringMathTea.
2AA341B03FAC3054C57640122EA849BC0C2B6AF6 msadomr.dll Win64/NukeSped.SP Загрузчик, маскирующийся под библиотеку Microsoft DirectInput.
CB7834BE7DE07F89352080654F7FEB574B42A2B8 ComparePlus.dll Win64/NukeSped.SJ Троянизированный плагин Notepad++, маскирующийся под библиотеку Microsoft Web Services Runtime. Дроппер с VirusTotal.
262B4ED6AC6A977135DECA5B0872B7D6D676083A tzautosync.dat Win64/NukeSped.RW Расшифрованный ScoringMathTea, хранившийся в зашифрованном виде на диске.
086816466D9D9C12FCADA1C872B8C0FF0A5FC611 N/A Win64/NukeSped.RN ScoringMathTea.
2A2B20FDDD65BA28E7C57AC97A158C9F15A61B05 cache.dat Win64/NukeSped.SN

 Загрузчик, похожий на BinMergeLoader, созданный как троянизированный плагин NPPHexEditor.

Сеть

IP Домен Хостинг-провайдер Первый раз замечено Детали
23.111.133[.]162 coralsunmarine[.]com HIVELOCITY, Inc. 2024-06-06 Сервер C&C ScoringMathTea:
https://coralsunmarine[.]com/wp-content/themes/flatsome/inc/functions/function-hand.php
104.21.80[.]1 kazitradebd[.]com Cloudflare, Inc. 2025-01-11 Сервер C&C ScoringMathTea:
https://kazitradebd[.]com/wp-content/themes/hello-elementor/includes/customizer/customizer-hand.php
70.32.24[.]131 oldlinewoodwork[.]com A2 Hosting, Inc. 2024-06-14 Сервер C&C ScoringMathTea:
https://oldlinewoodwork[.]com/wp-content/themes/zubin/inc/index.php
185.148.129[.]24 www.mnmathleague[.]org A2 Hosting, Inc. 2024-06-15 Сервер C&C ScoringMathTea:
https://www.mnmathleague[.]org/ckeditor/adapters/index.php
66.29.144[.]75 pierregems[.]com Namecheap, Inc. 2024-08-11 Сервер C&C ScoringMathTea:
https://pierregems[.]com/wp-content/themes/woodmart/inc/configs/js-hand.php
108.181.92[.]71 www.scgestor.com[.]br Psychz Networks 2024-07-15 Сервер C&C ScoringMathTea:
https://www.scgestor.com[.]br/wp-content/themes/vantage/inc/template-headers.php
104.247.162[.]67 galaterrace[.]com GNET Internet Telekomunikasyon A.S. 2024-06-27 Сервер C&C ScoringMathTea:
https://galaterrace[.]com/wp-content/themes/hello-elementor/includes/functions.php
193.39.187[.]165 ecudecode[.]mx Heymman Servers Corporation 2025-05-14 Сервер C&C ScoringMathTea:
https://ecudecode[.]mx/redsocial/wp-content/themes/buddyx/inc/Customizer/usercomp.php
172.67.193[.]139 www.anvil.org[.]ph Cloudflare, Inc. 2025-02-22 Сервер C&C ScoringMathTea:
https://www.anvil.org[.]ph/list/images/index.php
77.55.252[.]111 partnerls[.]pl Nazwa.pl Sp.z.o.o. 2025-06-02 Сервер C&C ScoringMathTea:
https://partnerls.pl/wp-content/themes/public/index.php
45.148.29[.]122 trainingpharmacist.co[.]uk Webdock.io ApS 2024-06-13 Сервер C&C ScoringMathTea:
https://trainingpharmacist.co.uk/bootstrap/bootstrap.php
75.102.23[.]3 mediostresbarbas.com[.]ar DEFT.COM 2024-06-05 Сервер C&C ScoringMathTea:
https://mediostresbarbas.com[.]ar/php_scrip/banahosting/index.php
152.42.239[.]211 www.bandarpowder[.]com DigitalOcean, LLC 2024-09-19 Сервер C&C ScoringMathTea:
https://www.bandarpowder[.]com/public/assets/buttons/bootstrap.php
95.217.119[.]214 spaincaramoon[.]com Hetzner Online GmbH 2025-04-30 Сервер C&C ScoringMathTea:
https://spaincaramoon[.]com/realestate/wp-content/plugins/gravityforms/forward.php

Техники MITRE ATT&CK

Эта таблица составлена с использованием версии 17 фреймворка MITRE ATT&CK.

Начиная с конца марта 2025 года, в телеметрии ESET мы наблюдали кибератаки, напоминающие кампании Operation DreamJob. Атаки в реальных условиях последовательно были направлены против трех европейских компаний, работающих в оборонном секторе. Хотя их деятельность несколько разнообразна, эти организации можно описать следующим образом:

  • металлообрабатывающая компания (Юго-Восточная Европа),
  • производитель авиационных компонентов (Центральная Европа) и
  • оборонная компания (Центральная Европа).

Во всех случаях использовались дропперы, имеющие интересное внутреннее имя DLL — DroneEXEHijackingLoader.dll, что и привело нас к изучению сегмента дронов. Кроме того, первоначальный доступ, вероятно, был достигнут с помощью социальной инженерии — специальности Operation DreamJob. Доминирующая тема — это прибыльное, но фальшивое предложение работы с вредоносным ПО в комплекте: цель получает документ-приманку с описанием вакансии и троянизированный PDF-ридер для его открытия.

Основной полезной нагрузкой, развернутой для целей, был ScoringMathTea — RAT, который предоставляет злоумышленникам полный контроль над скомпрометированной машиной. Его первое появление относится к концу 2022 года, когда его дроппер был загружен на VirusTotal. Вскоре после этого он был замечен в реальных атаках, и с тех пор в нескольких атаках, приписываемых кампаниям Lazarus Operation DreamJob, что делает его предпочтительной полезной нагрузкой злоумышленников уже три года. Он использует скомпрометированные серверы для связи C&C, причем серверная часть обычно хранится в папке WordPress, содержащей шаблоны дизайна или плагины.

Таким образом, мы с высокой степенью уверенности приписываем эту активность Lazarus, в частности, его кампаниям, связанным с Operation DreamJob, на основании следующего:

  • Первоначальный доступ был получен посредством социальной инженерии, когда цель убеждали выполнить вредоносное ПО под видом описания вакансии, чтобы успешно пройти процесс найма.
  • Троянизация проектов с открытым исходным кодом с последующей настройкой их экспорта для соответствия DLL side-loading, похоже, является подходом, специфичным для Operation DreamJob.
  • Флагманская полезная нагрузка для последующих этапов, ScoringMathTea, использовалась в нескольких подобных атаках в прошлом.
  • Целевые сектора, расположенные в Европе, соответствуют целям предыдущих случаев Operation DreamJob (аэрокосмическая, оборонная, инженерная).

Геополитический контекст

Три целевые организации производят различные виды военной техники (или ее части), многие из которых в настоящее время развернуты в Украине в результате военной помощи европейских стран. Во время наблюдаемой активности Operation DreamJob северокорейские солдаты были развернуты в России, предположительно, для помощи Москве в отражении наступления Украины в Курской области. Таким образом, возможно, Operation DreamJob была заинтересована в сборе конфиденциальной информации о некоторых западных системах вооружения, используемых в настоящее время в российско-украинской войне.

В более общем плане, эти организации участвуют в производстве видов материальных средств, которые Северная Корея также производит на внутреннем рынке и для которых она, возможно, надеется усовершенствовать собственные разработки и процессы. В любом случае, нет никаких указаний на то, что целевые компании поставляют военную технику вооруженным силам Южной Кореи — это могло бы быть еще одним объяснением интереса Operation DreamJob к этим компаниям. Интересно, однако, что по крайней мере две из этих организаций явно участвуют в разработке технологий БПЛА, одна из которых производит критически важные компоненты дронов, а другая, как сообщается, занимается разработкой программного обеспечения, связанного с БПЛА.

Интерес к ноу-хау в области БПЛА примечателен, поскольку он перекликается с недавними сообщениями СМИ, указывающими на то, что Пхеньян активно инвестирует в отечественные возможности производства дронов. Хотя это начинание можно проследить до более чем десятилетней давности, многие наблюдатели считают, что недавний опыт Северной Кореи в современной войне в российско-украинской войне лишь укрепил решимость Пхеньяна в отношении его программы дронов. Северокорейский режим, как сообщается, теперь получает помощь от России для производства собственной версии иранского ударного дрона «Шахед», а также, по-видимому, работает над недорогими ударными БПЛА, которые могут быть экспортированы в страны Африки или Ближнего Востока.

Оценка «связи с дронами»

Если что-то и ясно, так это то, что Северная Корея в значительной степени полагалась на обратное проектирование и кражу интеллектуальной собственности для развития своих отечественных возможностей БПЛА. Как показывают недавние отчеты из открытых источников, флагманский разведывательный дрон Северной Кореи, Saetbyol‑4, выглядит как точная копия Northrop Grumman RQ‑4 Global Hawk, в то время как его многоцелевой боевой дрон, Saetbyol‑9, поразительно похож на MQ‑9 Reaper компании General Atomics. Тот факт, что оба обозначения повторяют номер, связанный с их американским аналогом, может быть даже не очень тонким намеком на это. Хотя характеристики этих летательных аппаратов могут отличаться от характеристик их американских аналогов, нет никаких сомнений в том, что последние послужили сильным вдохновением для разработок Северной Кореи.

Вероятно, именно здесь в игру вступают кибервозможности. Хотя Пхеньян, вероятно, мобилизовал и другие разведывательные ресурсы для копирования западных БПЛА, есть признаки того, что кибершпионаж мог сыграть свою роль. В последние годы несколько кампаний, затрагивающих аэрокосмический сектор (включая технологии БПЛА), были приписаны группам APT, связанным с Северной Кореей, в том числе Operation North Star (кампания, имеющая некоторое пересечение с Operation DreamJob). В 2020 году исследователи ESET задокументировали аналогичную кампанию, которую мы тогда назвали Operation In(ter)ception, а позже с высокой степенью уверенности приписали Lazarus. Поскольку несколько групп, связанных с Lazarus, были официально связаны со спецслужбами Северной Кореи властями США и другими, эти прецеденты убедительно свидетельствуют о том, что кибершпионаж, вероятно, является одним из инструментов, используемых режимом для обратного проектирования западных БПЛА, и что группы, действующие под широким зонтиком Lazarus, активно участвуют в этих усилиях.

В этом контексте мы считаем, что Operation DreamJob была — по крайней мере частично — направлена на кражу проприетарной информации и производственных ноу-хау, касающихся БПЛА. Упоминание drone, замеченное в одном из дропперов, значительно подкрепляет эту гипотезу.

Чтобы быть предельно ясными, мы можем только предполагать, какую именно информацию искала Operation DreamJob. Однако мы нашли доказательства того, что одна из целевых организаций участвует в производстве по крайней мере двух моделей БПЛА, которые в настоящее время используются в Украине и с которыми Северная Корея могла столкнуться на передовой. Эта организация также участвует в цепочке поставок передовых одновинтовых дронов (т.е. беспилотных вертолетов), типа летательных аппаратов, которые Пхеньян активно разрабатывает, но пока не смог милитаризировать. Это могут быть некоторые из потенциальных мотивов наблюдаемой активности Operation DreamJob. В более общем плане, поскольку Северная Корея, как сообщается, находится в процессе строительства завода для массового производства БПЛА, она также может искать привилегированные знания относительно промышленных процессов и производственных технологий, связанных с БПЛА.

Инструментарий

В отчетах Google Mandiant за сентябрь 2024 года и Kaspersky за декабрь 2024 года описаны инструменты, используемые Lazarus в Operation DreamJob в 2024 году. В этом разделе мы упомянем инструменты, на которые группа перешла в Operation DreamJob в 2025 году. Основываясь на их положении в цепочке выполнения, мы различаем два типа инструментов: ранние стадии, состоящие из различных дропперов, загрузчиков и загрузчиков; и основные стадии, представляющие полезные нагрузки, такие как RAT и сложные загрузчики, которые дают злоумышленникам достаточный контроль над скомпрометированной машиной.

Помимо случаев реальных атак, замеченных в телеметрии ESET, активность злоумышленников также проявлялась в одновременных отправках на VirusTotal. Троянизированный MuPDF reader, QuanPinLoader, загрузчик, замаскированный под библиотеку Microsoft DirectInput (dinput.dll), и вариант ScoringMathTea были отправлены из Италии в апреле и июне 2025 года; BinMergeLoader был отправлен в августе 2025 года из Испании.

Дропперы, загрузчики и загрузчики

В целом, злоумышленники Lazarus очень активны и развертывают свои бэкдоры против множества целей. Частое использование этих инструментов приводит к их обнаружению. В качестве контрмеры инструменты группы предшествуют в цепочке выполнения ряд дропперов, загрузчиков и простых загрузчиков. Обычно используемые загрузчики ищут следующую стадию в файловой системе или реестре, расшифровывают ее с помощью AES-128 или ChaCha20 и вручную загружают в память с помощью процедур, реализованных в библиотеке MemoryModule; дроппер — это, по сути, загрузчик, но содержит следующую стадию, встроенную в его тело. Основная полезная нагрузка, ScoringMathTea во всех наблюдаемых случаях, никогда не присутствует на диске в незашифрованном виде. Примеры цепочек выполнения показаны на Рисунке 1. В некоторых случаях злоумышленники также развертывали сложный загрузчик, который мы называем BinMergeLoader, аналогичный вредоносному ПО MISTPEN, о котором сообщала Google Mandiant. BinMergeLoader использует Microsoft Graph API и токены Microsoft API для аутентификации.

Рисунок 1. Примеры цепочек выполнения Operation DreamJob в 2025 году
Рисунок 1. Примеры цепочек выполнения Operation DreamJob в 2025 году, доставляющих BinMergeLoader и ScoringMathTea

Злоумышленники решили встроить свои вредоносные процедуры загрузки в проекты с открытым исходным кодом, доступные на GitHub. Выбор проекта варьируется от атаки к атаке. В 2025 году мы наблюдали следующее вредоносное ПО:

  • Троянизированные TightVNC Viewer и MuPDF reader, которые служат загрузчиками.
  • Троянизированная библиотека libpcre v8.45 для Windows, являющаяся устаревшей и служащая загрузчиком.
  • Загрузчик, который имеет китайский символ 样 (yàng в транслитерации пиньинь) в качестве значка в ресурсах. Он также содержит строку SampleIMESimplifiedQuanPin.txt, что предполагает, что он, вероятно, основан на проекте с открытым исходным кодом Sample IME, демо-версии редактора метода ввода на основе TSF. Мы называем это QuanPinLoader.
  • Загрузчики, созданные на основе проекта с открытым исходным кодом DirectX Wrappers.
  • Загрузчики, созданные на основе плагинов с открытым исходным кодом для WinMerge (DisplayBinaryFiles и HideFirstLetter). Мы называем два троянизированных плагина BinMergeLoader.
  • Троянизированные плагины с открытым исходным кодом для Notepad++, в частности, загрузчик, очень похожий на BinMergeLoader (NPPHexEditor v10.0.0 от MacKenzie Cumings) и дроппер неизвестной полезной нагрузки (ComparePlus v1.1.0 от Pavel Nedev). Последний бинарник содержит путь PDB E:WorkTroy안정화wksprtcomparePlus-masterNotepad++pluginsComparePlusComparePlus.pdb, что указывает на происхождение проекта (comparePlus-master) и его предполагаемый законный родительский процесс (wksprt). Кроме того, 안정화 означает «стабильный» на корейском языке, что указывает на то, что код, вероятно, был должным образом протестирован и надежен.

Один из дропперов (SHA-1: 03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4) имеет внутреннее имя DLL DroneEXEHijackingLoader.dll и замаскирован под библиотеку Windows Web Services Runtime, чтобы успешно загружаться боковым способом; см. Рисунок 2. Мы считаем, что подстрока drone присутствует как для обозначения устройства БПЛА, так и для внутреннего названия кампании злоумышленников.

Рисунок 2. Дроппер с подозрительным внутренним именем и экспортами из законной библиотеки Microsoft
Рисунок 2. Дроппер с подозрительным внутренним именем и экспортами из законной библиотеки Microsoft

Таблица 1 показывает типичную комбинацию законных исполняемых файлов (EXE) и вредоносных динамически подключаемых библиотек (DLL), доставленных в систему жертвы (это аналогично Таблице 1 в нашем посте в блоге об атаке на испанскую аэрокосмическую компанию в 2023 году). DLL в третьем столбце — это либо троянизированные приложения с открытым исходным кодом (см. четвертый столбец для базового проекта), либо автономный вредоносный бинарник без такого благонамеренного контекста, с законным EXE, загружающим его боковым способом. Папка расположения (первый столбец) необычна для таких законных приложений. Вредоносные DLL используют технику проксирования DLL, чтобы не нарушать выполнение. Поэтому, когда DLL также является троянизированным проектом, она содержит два разнородных типа экспортов: во-первых, набор функций, необходимых для проксирования DLL, и, во-вторых, набор функций, экспортируемых из проекта с открытым исходным кодом.

Таблица 1. Сводка бинарных файлов, участвовавших в атаке

Папка расположения Законный родительский процесс Вредоносная DLL, загружаемая боковым способом Троянизированный проект
(полезная нагрузка)
N/A wksprt.exe* webservices.dll* ComparePlus v1.1.0 (N/A)

%ALLUSERSPROFILE%EMC

%ALLUSERSPROFILE%Adobe

 wksprt.exe webservices.dll Автономный
(ScoringMathTea)
%ALLUSERSPROFILE% wkspbroker.exe radcui.dll DirectX wrappers d3d8.dll/ddraw.dll
(ScoringMathTea)
%APPDATA%MicrosoftRemoteApp wkspbroker.exe radcui.dll Автономный
(BinMergeLoader)

* Обозначает отправку на VirusTotal и ее вероятный родительский процесс. Полезная нагрузка неизвестна, так как для ее расшифровки из троянизированного проекта требуется длинный аргумент командной строки.

ScoringMathTea

ScoringMathTea — это сложный RAT, поддерживающий около 40 команд. Его название является комбинацией корня ScoringMath, взятого из домена C&C, используемого ранним вариантом (www.scoringmnmathleague[.]org), и суффикса -Tea, который является обозначением ESET Research для полезной нагрузки, связанной с Северной Кореей. Впервые он был публично документирован Kaspersky в апреле 2023 года, а затем Microsoft в октябре 2023 года под названием ForestTiger, которое соответствует внутреннему имени DLL или информации PDB, найденной в некоторых образцах.

Его первое появление можно проследить до отправки на VirusTotal из Португалии и Германии в октябре 2022 года, где его дроппер представлялся под видом предложения работы от Airbus. Реализованная функциональность — это обычная для Lazarus: манипулирование файлами и процессами, обмен конфигурацией, сбор информации о системе жертвы, открытие TCP-соединения и выполнение локальных команд или новых полезных нагрузок, загруженных с C&C-сервера. Текущая версия не демонстрирует никаких драматических изменений в наборе функций или парсинге команд. Таким образом, полезная нагрузка, вероятно, получает непрерывные, довольно незначительные улучшения и исправления ошибок.

Что касается телеметрии ESET, ScoringMathTea был замечен в атаках на индийскую технологическую компанию в январе 2023 года, польскую оборонную компанию в марте 2023 года, британскую компанию по промышленной автоматизации в октябре 2023 года и итальянскую аэрокосмическую компанию в сентябре 2025 года. Похоже, что это одна из флагманских полезных нагрузок для кампаний Operation DreamJob, хотя Lazarus располагает и более сложными полезными нагрузками, такими как LightlessCan.

Заключение

Почти три года Lazarus придерживается последовательного образа действий, развертывая свою предпочтительную основную полезную нагрузку ScoringMathTea и используя схожие методы для троянизации приложений с открытым исходным кодом. Эта предсказуемая, но эффективная стратегия обеспечивает достаточный полиморфизм для уклонения от обнаружения системами безопасности, даже если она недостаточна для маскировки личности группы и запутывания процесса атрибуции. Кроме того, несмотря на широкое освещение Operation DreamJob и использование социальной инженерии в СМИ, уровень осведомленности сотрудников в чувствительных секторах — технологическом, инженерном и оборонном — недостаточен для справиться с потенциальными рисками подозрительного процесса найма.

Хотя возможны альтернативные гипотезы, есть веские основания полагать, что эта кампания Operation DreamJob была, по крайней мере частично, направлена на сбор конфиденциальной информации о технологиях, связанных с БПЛА. Учитывая текущие усилия Северной Кореи по масштабированию своей индустрии и арсенала дронов, представляется вероятным, что другие организации, активные в этом секторе, привлекут внимание злоумышленников, связанных с Северной Кореей, в ближайшем будущем.

По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, пожалуйста, свяжитесь с нами по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты по разведке APT и потоки данных. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.

IoC

Полный список индикаторов компрометации и образцов можно найти в нашем репозитории GitHub.

Файлы

SHA-1 Filename Detection Description
28978E987BC59E75CA22562924EAB93355CF679E TSMSISrv.dll Win64/NukeSped.TL QuanPinLoader.
5E5BBA521F0034D342CC26DB8BCFECE57DBD4616 libmupdf.dll Win64/NukeSped.TE A loader disguised as a MuPDF rendering library v3.3.3.
B12EEB595FEEC2CFBF9A60E1CC21A14CE8873539 radcui.dll Win64/NukeSped.TO A dropper disguised as a RemoteApp and Desktop Connection UI Component library.
26AA2643B07C48CB6943150ADE541580279E8E0E HideFirstLetter.DLL Win64/NukeSped.TO BinMergeLoader.
0CB73D70FD4132A4FF5493DAA84AAE839F6329D5 libpcre.dll Win64/NukeSped.TP A loader that is a trojanized libpcre library.
03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4 webservices.dll Win64/NukeSped.RN A dropper disguised as a Microsoft Web Services Runtime library.
71D0DDB7C6CAC4BA2BDE679941FA92A31FBEC1FF N/A Win64/NukeSped.RN ScoringMathTea.
87B2DF764455164C6982BA9700F27EA34D3565DF webservices.dll Win64/NukeSped.RW A dropper disguised as a Microsoft Web Services Runtime library.
E670C4275EC24D403E0D4DE7135CBCF1D54FF09C N/A Win64/NukeSped.RW ScoringMathTea.
B6D8D8F5E0864F5DA788F96BE085ABECF3581CCE radcui.dll Win64/NukeSped.TF A loader disguised as a RemoteApp and Desktop Connection UI Component library.
5B85DD485FD516AA1F4412801897A40A9BE31837 RCX1A07.tmp Win64/NukeSped.TH A loader of an encrypted ScoringMathTea.
B68C49841DC48E3672031795D85ED24F9F619782 TSMSISrv.dll Win64/NukeSped.TL QuanPinLoader.
AC16B1BAEDE349E4824335E0993533BF5FC116B3 cache.dat Win64/NukeSped.QK A decrypted ScoringMathTea RAT.
2AA341B03FAC3054C57640122EA849BC0C2B6AF6 msadomr.dll Win64/NukeSped.SP A loader disguised as a Microsoft DirectInput library.
CB7834BE7DE07F89352080654F7FEB574B42A2B8 ComparePlus.dll Win64/NukeSped.SJ A trojanized Notepad++ plugin disguised as a Microsoft Web Services Runtime library. A dropper from VirusTotal.
262B4ED6AC6A977135DECA5B0872B7D6D676083A tzautosync.dat Win64/NukeSped.RW A decrypted ScoringMathTea, stored encrypted on the disk.
086816466D9D9C12FCADA1C872B8C0FF0A5FC611 N/A Win64/NukeSped.RN ScoringMathTea.
2A2B20FDDD65BA28E7C57AC97A158C9F15A61B05 cache.dat Win64/NukeSped.SN

 A downloader similar to BinMergeLoader built as a trojanized NPPHexEditor plugin.

Network

IP Domain Hosting provider First seen Details
23.111.133[.]162 coralsunmarine[.]com HIVELOCITY, Inc. 2024-06-06 ScoringMathTea C&C server:
https://coralsunmarine[.]com/wp-content/themes/flatsome/inc/functions/function-hand.php
104.21.80[.]1 kazitradebd[.]com Cloudflare, Inc. 2025-01-11 ScoringMathTea C&C server:
https://kazitradebd[.]com/wp-content/themes/hello-elementor/includes/customizer/customizer-hand.php
70.32.24[.]131 oldlinewoodwork[.]com A2 Hosting, Inc. 2024-06-14 ScoringMathTea C&C server:
https://oldlinewoodwork[.]com/wp-content/themes/zubin/inc/index.php
185.148.129[.]24 www.mnmathleague[.]org A2 Hosting, Inc. 2024-06-15 ScoringMathTea C&C server:
https://www.mnmathleague[.]org/ckeditor/adapters/index.php
66.29.144[.]75 pierregems[.]com Namecheap, Inc. 2024-08-11 ScoringMathTea C&C server:
https://pierregems[.]com/wp-content/themes/woodmart/inc/configs/js-hand.php
108.181.92[.]71 www.scgestor.com[.]br Psychz Networks 2024-07-15 ScoringMathTea C&C server:
https://www.scgestor.com[.]br/wp-content/themes/vantage/inc/template-headers.php
104.247.162[.]67 galaterrace[.]com GNET Internet Telekomunikasyon A.S. 2024-06-27 ScoringMathTea C&C server:
https://galaterrace[.]com/wp-content/themes/hello-elementor/includes/functions.php
193.39.187[.]165 ecudecode[.]mx Heymman Servers Corporation 2025-05-14 ScoringMathTea C&C server:
https://ecudecode[.]mx/redsocial/wp-content/themes/buddyx/inc/Customizer/usercomp.php
172.67.193[.]139 www.anvil.org[.]ph Cloudflare, Inc. 2025-02-22 ScoringMathTea C&C server:
https://www.anvil.org[.]ph/list/images/index.php
77.55.252[.]111 partnerls[.]pl Nazwa.pl Sp.z.o.o. 2025-06-02 ScoringMathTea C&C server:
https://partnerls.pl/wp-content/themes/public/index.php
45.148.29[.]122 trainingpharmacist.co[.]uk Webdock.io ApS 2024-06-13 ScoringMathTea C&C server:
https://trainingpharmacist.co.uk/bootstrap/bootstrap.php
75.102.23[.]3 mediostresbarbas.com[.]ar DEFT.COM 2024-06-05 ScoringMathTea C&C server:
https://mediostresbarbas.com[.]ar/php_scrip/banahosting/index.php
152.42.239[.]211 www.bandarpowder[.]com DigitalOcean, LLC 2024-09-19 ScoringMathTea C&C server:
https://www.bandarpowder[.]com/public/assets/buttons/bootstrap.php
95.217.119[.]214 spaincaramoon[.]com Hetzner Online GmbH 2025-04-30 ScoringMathTea C&C server:
https://spaincaramoon[.]com/realestate/wp-content/plugins/gravityforms/forward.php

MITRE ATT&CK techniques

This table was built using version 17 of the MITRE ATT&CK framework.

Tactic

ID

Name

Description

Resource Development

T1584.004

Compromise Infrastructure: Server

ScoringMathTea uses compromised servers for C&C.

T1587.001

Develop Capabilities: Malware

All stages in the attack were likely developed by the attackers.

Execution

T1106

Native API

Windows APIs are essential for ScoringMathTea to function and are resolved dynamically at runtime.

T1129

Shared Modules

ScoringMathTea is able to load a downloaded DLL with the exports fun00 or exportfun00.

T1204.002

User Execution: Malicious File

Lazarus attackers relied on the execution of trojanized PDF readers.

Persistence

T1574.002

Hijack Execution Flow: DLL Side-Loading

Trojanized droppers (webservices.dll, radcui.dll) use legitimate programs (wksprt.exe, wkspbroker.exe) for their loading.

Defense Evasion

T1134.002

Access Token Manipulation: Create Process with Token

ScoringMathTea can create a new process in the security context of the user represented by a specified token.

T1140

Deobfuscate/Decode Files or Information

The main payload, ScoringMathTea, is always encrypted on the file system.

T1027.007

Obfuscated Files or Information: Dynamic API Resolution

ScoringMathTea resolves Windows APIs dynamically.

T1027.009

Obfuscated Files or Information: Embedded Payloads

The droppers of all malicious chains contain an embedded data array with an additional stage.

T1620

Reflective Code Loading

The droppers and loaders use reflective DLL injection.

T1055

Process Injection

ScoringMathTea and BinMergeLoader can reflectively load a DLL in the process specified by the PID.

Discovery

T1083

File and Directory Discovery

ScoringMathTea can locate a file by its name.

T1057

Process Discovery

ScoringMathTea can list all running processes.

T1082

System Information Discovery

ScoringMathTea can mimic the ver command.

Command and Control

T1071.001

Application Layer Protocol: Web Protocols

ScoringMathTea and BinMergeLoader use HTTP and HTTPS for C&C.

T1573.001

Encrypted Channel: Symmetric Cryptography

ScoringMathTea encrypts C&C traffic using the IDEA algorithm and BinMergeLoader using the AES algorithm.

T1132.001

Data Encoding: Standard Encoding

ScoringMathTea adds a base64-encoding layer to its encrypted C&C traffic.

Exfiltration

T1041

Exfiltration Over C2 Channel

ScoringMathTea can exfiltrate data to its C&C server.

Читать полный анализ на WeLiveSecurity →