Il gruppo di cybercrime nordcoreano noto come Lazarus Group ha sviluppato una sofisticata piattaforma amministrativa basata su web per gestire la propria infrastruttura di comando e controllo (C2). Questa piattaforma, costruita con un'applicazione React e un'API Node.js, consente ai criminali di supervisionare centralmente tutte le attività delle loro campagne. Secondo il team STRIKE di SecurityScorecard, ogni server C2 ospita questa piattaforma amministrativa, caratterizzata da un'interfaccia uniforme nonostante le variazioni nei payload e nelle tecniche di offuscamento utilizzate dagli attaccanti per evitare il rilevamento.

Il framework nascosto offre un sistema completo che permette agli attaccanti di gestire i dati esfiltrati, monitorare i dispositivi compromessi e gestire la distribuzione dei payload. Questa piattaforma è stata identificata nel contesto di una campagna di attacco alla supply chain, denominata Operazione Phantom Circuit, mirata al settore delle criptovalute e agli sviluppatori in tutto il mondo. La campagna ha coinvolto versioni trojanizzate di pacchetti software legittimi contenenti backdoor, con un impatto su 233 vittime globali, prevalentemente in Brasile, Francia e India.

L'operazione si è svolta tra settembre 2024 e gennaio 2025, con un picco di attività in India, che ha visto 110 vittime uniche solo nel mese di gennaio. Il gruppo Lazarus è noto per le sue competenze nel social engineering, utilizzando piattaforme come LinkedIn per attirare potenziali bersagli con offerte di lavoro o collaborazioni in progetti legati alle criptovalute. L'uso del VPN Astrill, precedentemente collegato a schemi fraudolenti di lavoro IT, e la scoperta di sei indirizzi IP nordcoreani che instauravano connessioni attraverso nodi di uscita VPN e endpoint di proxy Oculus, collegano ulteriormente l'operazione a Pyongyang.

L'analisi approfondita della componente amministrativa ha rivelato che consente agli attori della minaccia di visualizzare i dati esfiltrati dalle vittime e di eseguire ricerche e filtri su di essi. La campagna ha sfruttato pannelli web amministrativi nascosti basati su React e API Node.js per la gestione centralizzata dei dati rubati, colpendo oltre 233 vittime in tutto il mondo. Questi dati esfiltrati sono stati rintracciati fino a Pyongyang, Corea del Nord, attraverso una rete stratificata di VPN Astrill e proxy intermedi.