Aktor ancaman Korea Utara yang dikenal sebagai kelompok Lazarus telah diamati memanfaatkan “platform administrasi berbasis web” untuk mengawasi infrastruktur komando-dan-kontrol (C2), memberikan musuh kemampuan untuk mengawasi semua aspek kampanye mereka secara terpusat.
“Setiap server C2 meng-host platform administrasi berbasis web, dibangun dengan aplikasi React dan API Node.js,” kata tim pemogokan SecurityScorecard dalam sebuah laporan baru yang dibagikan kepada Hacker News. “Lapisan administratif ini konsisten di semua server C2 yang dianalisis, bahkan ketika para penyerang memvariasikan muatan mereka dan teknik kebingungan untuk menghindari deteksi.”
Kerangka kerja tersembunyi telah digambarkan sebagai sistem komprehensif dan hub yang memungkinkan penyerang untuk mengatur dan mengelola data yang dieksfiltrasi, mempertahankan pengawasan host yang dikompromikan, dan menangani pengiriman muatan.
Panel admin berbasis web telah diidentifikasi sehubungan dengan kampanye serangan rantai pasokan yang dijuluki Sirkuit Operasi Phantom yang menargetkan sektor cryptocurrency dan pengembang di seluruh dunia dengan versi trojanisasi paket perangkat lunak yang sah yang berisi pintu belakang.
Kampanye, yang berlangsung antara September 2024 dan Januari 2025, diperkirakan telah mengklaim 233 korban di seluruh dunia, dengan sebagian besar dari mereka diidentifikasi di Brasil, Prancis, dan India. Pada bulan Januari saja, kegiatan tersebut menargetkan 110 korban unik di India.
Kelompok Lazarus telah menjadi seorang ahli teknik sosial, memikat target prospektif menggunakan LinkedIn sebagai vektor infeksi awal dengan kedok peluang kerja yang menguntungkan atau kolaborasi bersama pada proyek terkait kripto.
Tautan operasi ke Pyongyang batang dari penggunaan Astrill VPN – yang sebelumnya telah dikaitkan dengan Skema Pekerja Teknologi Informasi Penipuan (TI) – dan penemuan enam alamat IP Korea Utara yang berbeda yang telah ditemukan memulai koneksi, yang dialihkan Astrill VPN keluar node dan titik akhir proxy oculus.
“Lalu lintas yang dikalahkan pada akhirnya mencapai infrastruktur C2, yang diselenggarakan di server Industri Stark. Server ini memfasilitasi pengiriman muatan, manajemen korban, dan exfiltrasi data,” kata SecurityCorecard.
Analisis lebih lanjut dari komponen admin telah mengungkapkan bahwa hal itu memungkinkan para aktor ancaman untuk melihat data yang dieksfiltrasi dari para korban, serta pencarian dan filter yang menarik.
“Dengan menanamkan backdoors yang dikaburkan ke dalam paket perangkat lunak yang sah, Lazarus menipu pengguna untuk menjalankan aplikasi yang dikompromikan, memungkinkan mereka untuk mengeluarkan data sensitif dan mengelola korban melalui server komando-dan-kontrol (C2) melalui port 1224,” kata perusahaan itu.
“The campaign's infrastructure leveraged hidden React-based web-admin panels and Node.js APIs for centralized management of stolen data, affecting over 233 victims worldwide. This exfiltrated data was traced back to Pyongyang, North Korea, through a layered network of Astrill VPNs dan proxy menengah. “
