O grupo de hackers norte-coreano Lazarus tem utilizado uma plataforma administrativa web para supervisionar sua infraestrutura de comando e controle (C2), centralizando suas operações criminosas. Segundo a SecurityScorecard, essa plataforma é construída com React e uma API em Node.js, permitindo que os atacantes gerenciem dados roubados, acompanhem dispositivos comprometidos e distribuam cargas maliciosas. A estrutura foi identificada na campanha de ataque à cadeia de suprimentos chamada Operação Phantom Circuit, que tem como alvo o setor de criptomoedas e desenvolvedores de software. Os hackers inserem código malicioso em pacotes legítimos, explorando aplicativos baseados em Node.js para enganar programadores e induzi-los a executar o código sob pretextos como testes técnicos ou entrevistas de emprego. Isso possibilita a infiltração em empresas globalmente.

Entre setembro de 2024 e janeiro de 2025, a operação comprometeu 1.639 vítimas, sendo 233 somente em janeiro. Os principais alvos foram Brasil, França e Índia, com 110 das vítimas localizadas na Índia. O ataque teve início via engenharia social no LinkedIn, onde os hackers fingiam oferecer oportunidades de trabalho ou colaboração em projetos cripto. A conexão com a Coreia do Norte foi estabelecida pelo uso do Astrill VPN e seis endereços IP norte-coreanos identificados acessando a infraestrutura do grupo. O tráfego obfuscado foi rastreado até servidores Stark Industries, utilizados para a entrega de cargas maliciosas e gerenciamento das vítimas.

A análise do painel administrativo mostrou que os atacantes podem visualizar e filtrar dados roubados. A plataforma foi amplamente usada em ataques ligados ao esquema de trabalhadores de TI norte-coreanos, facilitando a administração remota das informações extraídas. O Lazarus se aproveitou de repositórios confiáveis para esconder backdoors e controlar dispositivos infectados através de servidores C2 na porta 1224, consolidando sua influência global nos ataques cibernéticos.