El actor de amenaza de Corea del Septentrión conocido como el Agrupación Lazarus se ha observado que aprovecha una “plataforma administrativa basada en la web” para supervisar su infraestructura de comando y control (C2), dando al adversario la capacidad de supervisar centralmente todos los aspectos de sus campañas.
“Cada servidor C2 alojó una plataforma administrativa basada en la web, construida con una aplicación React y una API Node.js”, dijo el equipo de ataque de SecurityScorecard en un nuevo documentación compartido con Hacker News. “Esta capa administrativa fue consistente en todos los servidores C2 analizados, incluso cuando los atacantes variaron sus cargas avíos y técnicas de ofuscación para esquivar la detección”.
El entorno oculto se ha descrito como un sistema integral y un centro que permite a los atacantes organizar y establecer datos exfiltrados, apoyar la supervisión de sus hosts comprometidos y manejar la entrega de carga útil.
El panel de sucursal basado en la web se ha identificado en relación con una campaña de ataque de esclavitud de suministro denominado Circuito Phantom Phantom dirigido al sector y desarrolladores de criptomonedas de todo el mundo con versiones troyanizadas de paquetes de software legítimos que contienen traseros.
“Estos son paquetes legítimos que van desde aplicaciones de criptomonedas hasta soluciones de autenticación”, dijo a The Hacker News Ryan Sherstobitoff, vicepresidente senior de investigación e inteligencia de amenazas de SecurityScorecard. “Lo que tienen en popular es que muchas de estas aplicaciones son aplicaciones web que usan node.js.”
“Están integrando el código ofuscado en los repositorios y engañando a los desarrolladores de software para que ejecute el código como parte de una prueba de habilidades, entrevista o alguna otra oportunidad, a menudo estos desarrolladores lo ejecutan en sus computadoras portátiles corporativas. Esto luego permite que los operadores se infiltren en compañías aproximadamente del mundo “.
Se estima que la campaña, que tuvo ocupación entre septiembre de 2024 y enero de 2025, reclamó 233 víctimas en todo el mundo en enero y 1.639 en total, y la mayoría de ellas identificadas en Brasil, Francia e India. De las 233 entidades dirigidas, 110 se encuentran en la India.
El Agrupación Lazarus se ha convertido en un hábil en ingeniería social, atrayendo objetivos prospectivos que usan LinkedIn como un vector de infección auténtico bajo la apariencia de oportunidades de trabajo lucrativas o una colaboración conjunta en proyectos relacionados con criptografía.
Los enlaces de la operación a Pyongyang provienen del uso de Astrill VPN, que anteriormente se ha vinculado al esquema de trabajadores de tecnología de la información fraudulenta (TI), y al descubrimiento de seis direcciones IP distintas de Corea del Septentrión que se han incompatible iniciando conexiones, que se enrutaron Los nodos de salida de Astrill VPN y puntos finales de proxy Oculus.
“El tráfico ofuscado finalmente alcanzó la infraestructura C2, alojada en servidores Stark Industries. Estos servidores facilitaron la entrega de carga útil, la gobierno de víctimas y la exfiltración de datos”, dijo SecurityScorecard.
Un observación posterior del componente de sucursal ha revelado que permite a los actores de amenaza ver los datos exfiltrados de las víctimas, así como la búsqueda y el filtro de interés.
Se sospecha que la plataforma administrativa web se ha utilizado en todas las campañas relacionadas con la amenaza de los trabajadores de TI, que sirve como conducto para que los actores de amenaza administren la información recopilada de las víctimas en el extranjero, según Sherstobitoff.
“Al fijar los puertas traseras ofuscadas en paquetes de software legítimos, Lázaro engañó a los usuarios para ejecutar aplicaciones comprometidas, lo que les permite exfiltrar datos confidenciales y establecer a las víctimas a través de servidores de comando y control (C2) sobre el puerto 1224”, dijo la compañía.
“La infraestructura de la campaña aprovechó las API y las API de Node.js basadas en reacts basadas en React. y proxies intermedios “.
