Il gruppo di cybercrime nordcoreano noto come Lazarus Group ha sviluppato una sofisticata piattaforma amministrativa basata su web per gestire la propria infrastruttura di comando e controllo (C2). Questa piattaforma, costruita con un'applicazione React e un'API Node.js, consente ai criminali di supervisionare centralmente tutte le attività delle loro campagne.
Il framework nascosto offre un sistema completo che permette agli attaccanti di gestire i dati esfiltrati, monitorare i dispositivi compromessi e gestire la distribuzione dei payload. Questa piattaforma è stata identificata nel contesto di una campagna di attacco alla supply chain, denominata Operazione Phantom Circuit, mirata al settore delle criptovalute e agli sviluppatori in tutto il mondo. La campagna ha coinvolto versioni trojanizzate di pacchetti software legittimi contenenti backdoor, con un impatto su 233 vittime globali, prevalentemente in Brasile, Francia e India.
L'operazione si è svolta tra settembre 2024 e gennaio 2025, con un picco di attività in India, che ha visto 110 vittime uniche solo nel mese di gennaio. Il gruppo Lazarus è noto per le sue competenze nel social engineering, utilizzando piattaforme come LinkedIn per attirare potenziali bersagli con offerte di lavoro o collaborazioni in progetti legati alle criptovalute. L'uso del VPN Astrill, precedentemente collegato a schemi fraudolenti di lavoro IT, e la scoperta di sei indirizzi IP nordcoreani che instauravano connessioni attraverso nodi di uscita VPN e endpoint di proxy Oculus, collegano ulteriormente l'operazione a Pyongyang.
L'analisi approfondita della componente amministrativa ha rivelato che consente agli attori della minaccia di visualizzare i dati esfiltrati dalle vittime e di eseguire ricerche e filtri su di essi. La campagna ha sfruttato pannelli web amministrativi nascosti basati su React e API Node.js per la gestione centralizzata dei dati rubati, colpendo oltre 233 vittime in tutto il mondo. Questi dati esfiltrati sono stati rintracciati fino a Pyongyang, Corea del Nord, attraverso una rete stratificata di VPN Astrill e proxy intermedi.