CTI Swarm
Zurück zu allen Deep Dives
HEISE SECURITY

Lazarus Group's HR phishing wave against DACH manufacturing — a tradecraft deep dive

Strategische Zusammenfassung

Eine seit Anfang Mai laufende Lazarus-Kampagne nimmt gezielt HR-Abteilungen im DACH-Maschinenbau ins Visier. Die Angreifer nutzen sprachlich präzise zugeschnittene Bewerbungs-PDFs mit Discord-CDN-Loader und bleiben über mehrere Wochen passiv, bevor sie auf SAP/PLM zugreifen. Drei SIEM-taugliche Detection-Hooks und eine HR-Segmentierungsempfehlung werden im Detail beschrieben.

Key Findings

  • Lazarus zielt seit Mai 2026 systematisch auf HR-Postfächer im DACH-Maschinenbau — exakt das Joel-Traber-Risikoprofil.
  • Bewerbungs-PDFs nutzen Discord-CDN als Second-Stage-Loader; Outbound von Office-Prozessen dorthin ist ein starker IoC.
  • Persistenz erfolgt über HKCU Scheduled Tasks mit Base64-encoded PowerShell — detektierbar im SIEM.
  • Lateralisierung Richtung SAP/PLM startet erst 4–6 Wochen nach Initial Access — Frühdetektion ist möglich.
  • Empfohlene Sofortmassnahme: HR-Mailbox-Segment vom Engineering-Netz technisch trennen + AppLocker-Policy auf Office-Skripte.

Volltext

Seit Anfang Mai beobachtet die Heise-Security-Redaktion gemeinsam mit dem CERT-Bund eine konzentrierte Kampagne der nordkoreanischen Lazarus-Gruppe gegen HR-Abteilungen im deutschsprachigen Maschinen- und Anlagenbau. Vektor sind Bewerbungs-PDFs, die ein eingebettetes JavaScript zur Nachladung eines second-stage Loaders über Discord-CDN-URLs ausführen.

Die Lockdokumente sind sprachlich auf Senior-Engineering-Rollen zugeschnitten und enthalten plausible Lebensläufe — teils mit echten LinkedIn-Profilen abgeglichen. Bemerkenswert ist die Persistenz: Lazarus bleibt in den beobachteten Fällen 4–6 Wochen passiv im Netz, bevor es zur SAP- und PLM-Aufklärung übergeht.

Die Heise-Analyse identifiziert drei Indikatoren, die im SIEM-Use-Case gut funktionieren: erstens, Outbound-Verbindungen von Office-Prozessen zu Discord-CDN-Hostnames, zweitens, neu erstellte Scheduled Tasks unter HKCU mit Base64-encoded PowerShell-Payloads, und drittens, OAuth-Token-Requests gegen den Tenant aus geografisch unplausiblen Regionen.

Empfehlung: HR-Mailboxen technisch vom Engineering-Netzsegment trennen, Office-Macro- und Skript-Engines per AppLocker einschränken, und ein dediziertes Detection-Engineering-Sprint auf die genannten drei IoCs aufsetzen.