O grupo de ameaças da Coreia do Norte conhecido como Lazarus Group tem utilizado uma "plataforma administrativa baseada na web" para supervisionar sua infraestrutura de comando e controle (C2), conferindo ao adversário a habilidade de supervisionar centralizadamente todos os aspectos de suas campanhas.
"Cada servidor C2 hospedava uma plataforma administrativa baseada na web, construída com um aplicativo React e uma API Node.js", disse a equipe STRIKE da SecurityScorecard em um novo relatório compartilhado.
Essa camada administrativa era consistente em todos os servidores C2 analisados, mesmo enquanto os atacantes variavam seus payloads e técnicas de ofuscação para evitar detecção.
A estrutura oculta foi descrita como um sistema abrangente e um hub que permite aos atacantes organizar e gerenciar dados exfiltrados, manter supervisão de seus hosts comprometidos e gerenciar a entrega de payload.
O painel de administração baseado na web foi identificado em conexão com uma campanha de ataque à cadeia de suprimentos chamada Operação Circuito Fantasma, que visa o setor de criptomoedas e desenvolvedores ao redor do mundo com versões trojanizadas de pacotes de software legítimos que contêm backdoors.
"São pacotes legítimos que vão desde aplicações de criptomoedas até soluções de autenticação", disse Ryan Sherstobitoff, vice-presidente sênior de Pesquisa de Ameaças e Inteligência na SecurityScorecard.
O que eles têm em comum é que muitas dessas aplicações são web apps usando Node.js. Eles estão embutindo código ofuscado nos repositórios e enganando os desenvolvedores de software a executar o código como parte de um teste de habilidades, entrevista ou alguma outra oportunidade, muitas vezes esses desenvolvedores estão executando-o em seus laptops corporativos.
Isso então permite que os operadores infiltrem empresas ao redor do mundo. A campanha, que ocorreu entre setembro de 2024 e janeiro de 2025, estima-se que tenha feito 233 vítimas ao redor do mundo em janeiro e um total de 1.639, com a maioria delas identificadas no Brasil, França e Índia.
Das 233 entidades que foram alvo, 110 estão localizadas na Índia.
O Grupo Lazarus se tornou algo como um expert em engenharia social, atraindo alvos em potencial usando o LinkedIn como um vetor de infecção inicial sob o pretexto de oportunidades de emprego lucrativas ou uma colaboração conjunta em projetos relacionados a criptomoedas.
A operação tem ligações com Pyongyang devido ao uso da Astrill VPN – que anteriormente foi associada ao esquema fraudulento de trabalhador de tecnologia da informação (IT) – e à descoberta de seis endereços IP norte-coreanos que foram encontrados iniciando conexões, que foram roteadas através dos nós de saída da Astrill VPN e endpoints do Oculus Proxy.
"O tráfego ofuscado finalmente alcançava a infraestrutura C2, hospedada nos servidores da Stark Industries. Esses servidores facilitaram a entrega de payload, gerenciamento de vítimas e exfiltração de dados", disse a SecurityScorecard.
Análises adicionais do componente administrativo revelaram que ele permite aos atores de ameaças visualizar dados exfiltrados das vítimas, bem como buscar e filtrar interesses.
Suspeita-se que a plataforma administrativa web tenha sido usada em todas as campanhas relacionadas à ameaça do Trabalhador de IT, servindo como um meio para os atores de ameaças gerenciarem as informações coletadas das vítimas no exterior, segundo Sherstobitoff.
"Ao embutir backdoors ofuscados em pacotes de software legítimos, o Lazarus enganou os usuários a executar aplicações comprometidas, permitindo-lhes exfiltrar dados sensíveis e gerenciar vítimas através de servidores de comando e controle (C2) pela porta 1224", disse a empresa.
A infraestrutura da campanha aproveitou painéis administrativos web ocultos baseados em React e APIs Node.js para gerenciamento centralizado de dados roubados, afetando mais de 233 vítimas ao redor do mundo.
Esses dados exfiltrados foram rastreados até Pyongyang, Coreia do Norte, através de uma rede em camadas de Astrill VPNs e proxies intermediários.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...