[ad_1]
El actor de amenaza de Corea del Norte conocido como el Grupo de Lázaro se ha observado aprovechando una «plataforma administrativa basada en la web» para supervisar su infraestructura de comando y control (C2), dando al adversario la capacidad de supervisar centralmente todos los aspectos de sus campañas.
«Cada servidor C2 alojó una plataforma administrativa basada en la web, construida con una aplicación React y una API Node.js», dijo el equipo de ataque de SecurityScorecard en un nuevo informe compartido con las noticias del hacker. «Esta capa administrativa fue consistente en todos los servidores C2 analizados, incluso cuando los atacantes variaron sus cargas útiles y técnicas de ofuscación para evadir la detección».
El marco oculto se ha descrito como un sistema integral y un centro que permite a los atacantes organizar y administrar datos exfiltrados, mantener la supervisión de sus hosts comprometidos y manejar la entrega de carga útil.
El panel de administración basado en la web se ha identificado en relación con una campaña de ataque de cadena de suministro denominado Circuito Phantom Phantom dirigido al sector y desarrolladores de criptomonedas de todo el mundo con versiones troyanizadas de paquetes de software legítimos que contienen traseros.
Se estima que la campaña, que tuvo lugar entre septiembre de 2024 y enero de 2025, reclamó 233 víctimas en todo el mundo, y la mayoría de ellas identificadas en Brasil, Francia e India. Solo en enero, la actividad atacó a 110 víctimas únicas en la India.
El Grupo de Lázaro se ha convertido en una especie de experto en ingeniería socialatrayendo futuro objetivos Usar LinkedIn como vector de infección inicial bajo la apariencia de oportunidades de trabajo lucrativas o una colaboración conjunta en proyectos relacionados con criptografía.
Los enlaces de la operación a Pyongyang provienen del uso de Astrill VPN, que tiene previamente ha sido vinculado al esquema de trabajadores de la tecnología de la información fraudulenta (TI), y el descubrimiento de seis direcciones IP distintas de Corea del Norte que se han encontrado iniciando conexiones, que se enrutaron a través de nodos de salida de Astrill VPN y puntos finales proxy de Oculus.
«El tráfico ofuscado finalmente alcanzó la infraestructura C2, alojada en Industrias Stark servidores. Estos servidores facilitaron la entrega de carga útil, la gestión de víctimas y la exfiltración de datos «, dijo SecurityScorecard.
Un análisis posterior del componente de administración ha revelado que permite a los actores de amenaza ver los datos exfiltrados de las víctimas, así como la búsqueda y el filtro de interés.
«Al incrustar los puertas traseras ofuscadas en paquetes de software legítimos, Lázaro engañó a los usuarios para ejecutar aplicaciones comprometidas, lo que les permite exfiltrar datos confidenciales y administrar a las víctimas a través de servidores de comando y control (C2) sobre el puerto 1224», dijo la compañía.
«La infraestructura de la campaña aprovechó las API y las API de Node.js basadas en reacts basadas en React. y proxies intermedios «.
[ad_2]
Enlace fuente