Lazarus は無文書型トロイの木馬 RemotePE を展開し、暗号事業と銀行を攻撃する

Cryptopolitan による 5 月 26 日付の報道によると、ネットワークセキュリティの分析者が RemotePE という新型の無ファイル型リモートアクセストロイの木馬（RAT）を発見しました。北朝鮮と関連する Lazarus Group が、それを使って銀行や暗号資産企業を攻撃しているとのことです。RemotePE は完全にメモリ上で動作し、ファイルシステムには一切触れません。従来のアンチウイルスやフォレンジックツールでは検知が極めて困難です。

RemotePE の三段階攻撃チェーン：ファイルシステムに触れない確認メカニズム

RemotePE は、連携する 3 つの段階を通じて実行され、プロセス全体でファイルシステムに触れません：

Stage 1 - DPAPILoader：動的リンクライブラリ（DLL、自 2023 年 11 月以降はファイル名も Iassvc.dll）。Windows の DPAPI を使って、ディスク上のペイロードを復号します

Stage 2 - RemotePELoader：aes-secure[.]net の C2 サーバーと HTTP 接続を確立します。地獄の門（Hell's Gate）の技術と ETW パッチで EDR 解決策を回避します

Stage 3 - RemotePE：主なペイロードをメモリ上にダウンロードして実行し、ファイルシステムには一切触れません

DeFi 企業は、RemotePE、PondRAT、ThemeForestRAT という 3 種類の RAT による連続攻撃を受けたことを確認しています。

ソーシャルエンジニアリング手法：取引会社の社員になりすます

攻撃者は Telegram で取引会社の社員を装い、偽造した Calendly と Picktime を使って会議へのリンクを手配し、ソーシャルエンジニアリング攻撃を行います。会議の承認を得た後、3 段階のマルウェア導入チェーンが起動されます。Fox-IT は、この「人為的な介入」という方法によって、攻撃者が特定の標的に合わせた有効な餌を設計できる点を指摘しています。

Lazarus Group の 2026 年の窃取統計：TRM Labs がデータを確認

TRM Labs は、Lazarus Group が 2026 年の最初の 4 か月間で、わずか 2 件の重大な事件を通じて約 5.77 億ドルの暗号資産を窃取し、2026 年の世界の暗号窃盗総額の 76% を占めたことを確認しています。北朝鮮に関連するハッカーによる攻撃の割合は、ここ数年は一桁だったものの、2025 年には 64%、2026 年には 76% へと上昇しています。2017 年以降に累計で約 60 億ドルを窃取しており、これらの資金は制裁下にある北朝鮮の兵器および核開発に使用されたとされています。

よくある質問

RemotePE と一般的な RAT の核心的な違いは何ですか？

RemotePE の中核的な特性は、純粋なメモリ実行（ファイルが表に出ないこと）です。3 つの実行段階はいずれもファイルシステムに触れないため、ファイルのスキャンに基づくアンチウイルスやフォレンジックツールでは検知が難しくなります。Fox-IT のアナリストは、この設計は短期的な破壊ではなく、偵察のための長期潜伏を実現することを目的としていると指摘しています。

Stage 2 の RemotePELoader はどのように EDR ソリューションを回避しますか？

RemotePELoader は、地獄の門（Hell's Gate）の技術と ETW パッチを用いて、エンドポイントの検知と応答（EDR）ソリューションを回避します。これらの技術は、システムのイベント追跡メカニズムを改変し、システムコールを直接呼び出すことで、EDR の API フックによる監視を回避します。

Lazarus Group が奪った資金はどのように追跡されますか？

TRM Labs は、Lazarus Group のチェーン上の活動を追跡する主要なブロックチェーン分析会社であり、2026 年の最初の 4 か月間に約 5.77 億ドルが窃取された統計と、2017 年以降に累計で約 60 億ドルという記録を確認しています。具体的な追跡方法は、TRM Labs の元のレポートに基づきます。