Investigadores de ciberseguridad han descubierto un malware multiplataforma llamado RemotePE utilizado por el Grupo Lazarus, vinculado a Corea del Norte, en ataques dirigidos a instituciones financieras y organizaciones de criptomonedas.
Según Fox-IT, una subsidiaria de NCC Group, RemotePE es parte de una cadena de ataque de múltiples etapas que involucra dos cargadores rastreados como DPAPILoader y RemotePELoader.
«DPAPILoader utiliza la API de protección de datos de Windows (DPAPI) para descifrar y cargar RemotePELoader desde el disco», dijeron los investigadores de seguridad Yun Zheng Hu y Mick Koomen. «RemotePELoader envía una baliza al servidor C2 y espera recibir la siguiente etapa, RemotePE, que es una RAT que se ejecuta completamente en la memoria, nunca escribe en el disco y no deja artefactos del sistema de archivos».
RemotePE llamó la atención de los proveedores de seguridad por primera vez en septiembre de 2025 en relación con ataques dirigidos a organizaciones anónimas en el espacio de las finanzas descentralizadas (DeFi), lo que llevó a la introducción de tres familias de malware, incluidas PondRAT, ThemeForestRAT y RemotePE.
La intrusión comenzó acercándose a las víctimas en Telegram haciéndose pasar por empleados existentes de una empresa comercial, programando reuniones en dominios falsos de Calendly y Picktime y luego comprometiendo los dispositivos de los empleados mediante ingeniería social.
La secuencia de infección de RemotePE consta de tres etapas en las que la DLL DPAPILoader (‘Iassvc.dll’) utiliza DPAPI para descifrar y cargar una carga útil cifrada desde el disco. Los primeros artefactos de DPAPILoader se remontan a noviembre de 2023.
La carga útil descifrada es otro cargador, RemotePELoader, que está diseñado para conectarse a un servidor remoto (‘aes-secure(.)net’) a través de HTTP, recuperar el módulo principal y ejecutarlo en la memoria sin tomar ninguna medida para evadir la detección utilizando técnicas como los parches Hell’s Gate o Event Tracing para Windows (ETW).
La etapa final es un troyano de acceso remoto completo llamado RemotePE escrito en C++ que sondea un servidor de comando y control (C2) para obtener más instrucciones. El malware admite seis categorías de comandos y puede:
Obtener o cambiar la configuración de C2 Obtener o cambiar el directorio de trabajo actual, registrar nuevos módulos DLL, obtener archivos DLL cargados y descargar archivos DLL Realizar operaciones de archivos Obtener una lista de procesos en ejecución, crear uno nuevo o eliminar un proceso por ID Suspender en un intervalo determinado o salir de RemotePE Hacer ping a un servidor
Lo interesante del comando de eliminación de archivos es que sobrescribe cada archivo con un número constante de bytes siete veces antes de cambiar el nombre y eliminar el archivo. Este patrón también se observa en PondRAT y POOLRAT (también conocido como SIMPLESEA). PondRAT se considera una versión ligera de POOLRAT.
Fox-IT dijo que había obtenido cuatro muestras de RemotePE que indican que RAT estuvo en desarrollo activo desde mediados de 2023 hasta mediados de 2024. La primera versión tiene una marca de tiempo del 4 de julio de 2023.
Los investigadores dijeron: «La clave ambiental del conjunto de herramientas, la ejecución solo en memoria, la evitación de EDR y la baja huella forense sugieren que fue diseñado específicamente para campañas de observación a largo plazo». «Esto permite al atacante mantener silenciosamente el acceso durante un período prolongado antes de pasar a un objetivo final de alto impacto, como el robo de datos o un atraco financiero a gran escala. Esto es consistente con la historia conocida de este atacante».
«El modelo de entrega actor-in-the-loop y la baja tasa de detección del conjunto de herramientas (ni RemotePELoader ni RemotePE aparecieron en VirusTotal antes de esta publicación) sugieren que este conjunto de herramientas puede reservarse para objetivos de alto valor para un acceso sigiloso a largo plazo. Esto es consistente con el hecho de que se sabe que este subgrupo de Lazarus se centra en organizaciones financieras y de criptomonedas».
Source link
