En diciembre de 2024, una actualización de software rutinaria ocultó una amenaza global. Atacantes del Grupo Lazarus, con sede en Corea del Norte, infiltraron herramientas de desarrollo confiables, comprometiendo a cientos de víctimas en todo el mundo. Esta sofisticada campaña, denominada "Phantom Circuit", se dirigió a desarrolladores de criptomonedas y tecnología, empleando técnicas avanzadas de ofuscación a través de servidores proxy en Hasan, Rusia.
La investigación de STRIKE sobre 'Phantom Circuit' reveló un cambio crítico en las tácticas del Grupo Lazarus: incrustar malware directamente en aplicaciones confiables. "Este enfoque permite un impacto generalizado y acceso a largo plazo mientras se evaden las detecciones", explica Ryan Sherstobitoff, vicepresidente senior de Investigación e Inteligencia de Amenazas en STRIKE.
Investigación
La investigación de STRIKE comenzó con la Operación 99, descubriendo el uso de servidores de comando y control (C2) por parte del Grupo Lazarus. Estos servidores, activos desde septiembre de 2024, formaron la columna vertebral de una infraestructura elaborada para gestionar y exfiltrar datos robados.
- Fecha de inicio de la campaña: septiembre de 2024
- Función principal: comunicación con sistemas infectados a través del puerto 1224
- Capa oculta: plataforma administrativa accesible a través del puerto 1245, con una aplicación web React oculta y una API de Node.js
- Propósito: organizar y gestionar de forma remota datos robados a nivel mundial
- Sofisticación de la infraestructura: demostró una planificación avanzada y experiencia técnica, superando las expectativas típicas de las operaciones cibercriminales
"Estos servidores incluían una plataforma administrativa completa para gestionar sistemas comprometidos en todo el mundo", explica Sherstobitoff. "Esta infraestructura demostró un nivel de planificación y sofisticación que superó las expectativas".
Infraestructura y Operación
El Grupo Lazarus empleó una red de servidores y herramientas para llevar a cabo esta operación. Su infraestructura presentaba servidores de comando y control, dominios falsificados y sesiones persistentes de gestión remota. Al incrustar malware en herramientas de desarrollo confiables, los atacantes aseguraron un compromiso generalizado mientras mantenían el sigilo.
STRIKE documentó varios servidores C2 clave centrales para la operación, cuya función era servir cargas útiles y recopilar datos de las víctimas.
La Operación Phantom Circuit ha expuesto una campaña global altamente sofisticada por parte del Grupo Lazarus, dirigida a la industria de criptomonedas y a desarrolladores de software a través de ataques a la cadena de suministro. Al incrustar puertas traseras ofuscadas en paquetes de software legítimos, Lazarus engañó a los usuarios para que ejecutaran aplicaciones comprometidas, permitiéndoles exfiltrar datos sensibles y gestionar víctimas a través de servidores de comando y control (C2) en el puerto 1224. La infraestructura de la campaña aprovechó paneles de administración web ocultos basados en React y APIs de Node.js para la gestión centralizada de datos robados, afectando a más de 233 víctimas en todo el mundo. Estos datos exfiltrados se rastrearon hasta Pyongyang, Corea del Norte, a través de una red de VPNs Astrill y proxies intermedios.
Esta operación subraya una llamada urgente a la acción para que las organizaciones y desarrolladores fortalezcan su seguridad en la cadena de suministro mediante la implementación de procesos rigurosos de verificación de código y monitoreo del tráfico de red. Los equipos de seguridad deben colaborar globalmente para compartir inteligencia de amenazas y mantenerse por delante de las tácticas en evolución de Lazarus, que aprovechan tecnologías web modernas y técnicas avanzadas de ofuscación. Las industrias, particularmente aquellas en alto riesgo como la criptomoneda, deben priorizar la adopción de herramientas de monitoreo robustas, la aplicación de gestión de parches y el despliegue de defensas proactivas para mitigar futuros ataques de actores de amenazas avanzadas. El momento de actuar es ahora; no abordar estas vulnerabilidades deja sistemas y datos críticos expuestos a campañas similares.
