Investigadores de SecurityScorecard han observado que Lazarus Group estaría utilizando una plataforma administrativa basada en web para supervisar su infraestructura de mando y control (C2) y todos los aspectos de sus campañas de forma centralizada. Cada servidor C2 alojaba una plataforma construida con una aplicación React y una API Node.js.
Se trataría, pues, de un sistema integral que permite al grupo organizar y gestionar los datos exfiltrados, mantener la supervisión de hosts comprometidos y manejar la entrega de la carga útil. El hallazgo se ha producido en relación con una campaña de ataque a la cadena de suministro denominada Operation Phantom Circuit dirigida al sector de criptomonedas y desarrolladores de todo el mundo con versiones troyanizadas de paquetes de software legítimos que albergan backdoors.
La campaña, activa entre septiembre de 2024 y enero de 2025, tuvo 1 639 víctimas en total, la mayoría en Brasil, Francia e India. Se sospecha que la plataforma se ha usado en todas las campañas de la amenaza “IT Worker”.