El actor de amenaza de Corea del Norte conocido como el Grupo Lazarus se ha observado que aprovecha una «plataforma administrativa basada en la web» para supervisar su infraestructura de comando y control (C2), dando al adversario la capacidad de supervisar centralmente todos los aspectos de sus campañas.
«Cada servidor C2 alojó una plataforma administrativa basada en la web, construida con una aplicación React y una API Node.js», dijo el equipo de ataque de SecurityScorecard en un nuevo informe compartido con Hacker News. «Esta capa administrativa fue consistente en todos los servidores C2 analizados, incluso cuando los atacantes variaron sus cargas útiles y técnicas de ofuscación para evadir la detección».
El marco oculto se ha descrito como un sistema integral y un centro que permite a los atacantes organizar y administrar datos exfiltrados, mantener la supervisión de sus hosts comprometidos y manejar la entrega de carga útil.
El panel de administración basado en la web se ha identificado en relación con una campaña de ataque de cadena de suministro denominado Circuito Phantom Phantom dirigido al sector y desarrolladores de criptomonedas de todo el mundo con versiones troyanizadas de paquetes de software legítimos que contienen traseros.
«Estos son paquetes legítimos que van desde aplicaciones de criptomonedas hasta soluciones de autenticación», dijo a The Hacker News Ryan Sherstobitoff, vicepresidente senior de investigación e inteligencia de amenazas de SecurityScorecard. «Lo que tienen en común es que muchas de estas aplicaciones son aplicaciones web que usan node.js.»
«Están integrando el código ofuscado en los repositorios y engañando a los desarrolladores de software para que ejecute el código como parte de una prueba de habilidades, entrevista o alguna otra oportunidad, a menudo estos desarrolladores lo ejecutan en sus computadoras portátiles corporativas. Esto luego permite que los operadores se infiltren en compañías alrededor del mundo «.
Se estima que la campaña, que tuvo lugar entre septiembre de 2024 y enero de 2025, reclamó 233 víctimas en todo el mundo en enero y 1.639 en total, y la mayoría de ellas identificadas en Brasil, Francia e India. De las 233 entidades dirigidas, 110 se encuentran en la India.
El Grupo Lazarus se ha convertido en un experto en ingeniería social, atrayendo objetivos prospectivos que usan LinkedIn como un vector de infección inicial bajo la apariencia de oportunidades de trabajo lucrativas o una colaboración conjunta en proyectos relacionados con criptografía.
Los enlaces de la operación a Pyongyang provienen del uso de Astrill VPN, que anteriormente se ha vinculado al esquema de trabajadores de tecnología de la información fraudulenta (TI), y al descubrimiento de seis direcciones IP distintas de Corea del Norte que se han encontrado iniciando conexiones, que se enrutaron Los nodos de salida de Astrill VPN y puntos finales de proxy Oculus.
«El tráfico ofuscado finalmente alcanzó la infraestructura C2, alojada en servidores Stark Industries. Estos servidores facilitaron la entrega de carga útil, la gestión de víctimas y la exfiltración de datos», dijo SecurityScorecard.
Un análisis posterior del componente de administración ha revelado que permite a los actores de amenaza ver los datos exfiltrados de las víctimas, así como la búsqueda y el filtro de interés.
Se sospecha que la plataforma administrativa web se ha utilizado en todas las campañas relacionadas con la amenaza de los trabajadores de TI, que sirve como conducto para que los actores de amenaza administren la información recopilada de las víctimas en el extranjero, según Sherstobitoff.
«Al incrustar los puertas traseras ofuscadas en paquetes de software legítimos, Lázaro engañó a los usuarios para ejecutar aplicaciones comprometidas, lo que les permite exfiltrar datos confidenciales y administrar a las víctimas a través de servidores de comando y control (C2) sobre el puerto 1224», dijo la compañía.
«La infraestructura de la campaña aprovechó las API y las API de Node.js basadas en reacts basadas en React. y proxies intermedios «.