Empresa russa de segurança cibernética, a Kaspersky, identificou um grupo de hackers alinhado com a Coreia do Norte, conhecido como Labyrinth Chollima, como o responsável por um ataque à cadeia de suprimentos visando o 3CX, que resultou em um implante de segundo estágio. Esse backdoor, chamado Gopuram, tem a função de conectar-se a um servidor de comando e controle (C2) e aguardar instruções para permitir que os invasores interajam com o sistema de arquivos da vítima e criem processos.

A Kaspersky observou um aumento no número de infecções em março de 2023, coincidindo com a violação 3CX, com as maiores taxas de infecção detectadas no Brasil, Alemanha, Itália e França. A segmentação de empresas de criptomoeda é outro sinal revelador do envolvimento do Lazarus Group, dado o foco recorrente do agente da ameaça no setor financeiro para gerar lucros ilícitos para a nação atingida pelas sanções.

Embora a cadeia de ataque descoberta até agora envolva o uso de instaladores desonestos para distribuir um ladrão de informações (conhecido como ICONIC Stealer), as descobertas mais recentes sugerem que o objetivo final da campanha pode ter sido infectar alvos com o backdoor modular completo. Ainda não se sabe o sucesso da campanha e se ela levou ao roubo real de dados confidenciais ou criptomoedas.

O comprometimento está sendo rastreado sob o identificador CVE-2023-29059. As evidências coletadas até o momento indicam que os invasores envenenaram o ambiente de desenvolvimento da 3CX e entregaram versões trojanizadas do aplicativo legítimo aos clientes downstream da empresa em um ataque à cadeia de suprimentos do tipo SolarWinds ou Kaseya.

A CrowdStrike vinculou o incidente ao Lazarus Group, um grupo de hackers de estado-nação que já realizou vários ataques cibernéticos, incluindo o ataque à Sony Pictures em 2014 e o ataque ao Banco Central de Bangladesh em 2016, resultando em um roubo de US$ 81 milhões.