Lazarus implanta trojan sem arquivo RemotePE para atacar o setor cripto e bancos

Conforme noticiado pela Cryptopolitan em 26 de maio, analistas de segurança na rede descobriram um novo trojan de acesso remoto (RAT) sem arquivos chamado RemotePE, que está ligado ao grupo Lazarus, associado à Coreia do Norte, usando-o em ataques a bancos e empresas de criptomoedas. O RemotePE é executado completamente na memória, sem tocar no sistema de arquivos, o que torna a detecção extremamente difícil para antivírus e ferramentas forenses tradicionais.

Cadeia de ataque em três etapas do RemotePE: mecanismo de verificação sem tocar no sistema de arquivos

O RemotePE executa suas ações por meio de três etapas interligadas, mantendo o processo sem tocar no sistema de arquivos:

Stage 1 - DPAPILoader: biblioteca de ligação dinâmica (DLL, com o nome de arquivo também sendo Iassvc.dll desde novembro de 2023), usa o Windows DPAPI para descriptografar a carga útil no disco

Stage 2 - RemotePELoader: estabelece uma conexão HTTP com o servidor C2 da aes-secure[.]net; usa a técnica de Hell's Gate e um patch de ETW para contornar soluções de EDR

Stage 3 - RemotePE: a carga útil principal baixa e executa na memória, nunca tocando no sistema de arquivos

Uma empresa DeFi confirmou ter sido alvo de ataques consecutivos de três RATs: RemotePE, PondRAT e ThemeForestRAT.

Técnicas de engenharia social: se passar por funcionário de uma empresa de transações

Os atacantes se passam por funcionários de uma empresa de transações via Telegram, usando Calendly e Picktime falsificados para agendar ligações e conduzir ataques de engenharia social; após obter a aprovação da reunião, iniciam a cadeia de instalação de malware em três etapas. A Fox-IT destacou que esse método de “intervenção humana” permite que os atacantes criem iscas direcionadas a objetivos específicos.

Furtos estatísticos do Lazarus Group em 2026: dados confirmados pela TRM Labs

A TRM Labs confirmou que, apenas nos primeiros quatro meses de 2026, o Lazarus Group roubou cerca de US$ 577 milhões em ativos cripto por meio de apenas dois grandes incidentes, representando 76% do total global de roubos de criptomoedas em 2026. A proporção de ataques de hackers ligados à Coreia do Norte, que estava na casa de um dígito nos anos anteriores, subiu para 64% em 2025 e 76% em 2026; desde 2017, com um total acumulado de cerca de US$ 6 bilhões roubados, segundo relatos, esses fundos teriam sido usados para o desenvolvimento de armas e armas nucleares da Coreia do Norte sob sanções.

Perguntas frequentes

Qual é a principal diferença entre o RemotePE e um RAT comum?

A característica central do RemotePE é a execução puramente em memória (sem depositar arquivos), e as três etapas de execução não tocam no sistema de arquivos, dificultando a detecção por softwares antivírus e ferramentas forenses tradicionais baseadas em varredura de arquivos. Os analistas da Fox-IT apontaram que esse design busca viabilizar uma permanência prolongada para reconhecimento, e não um dano de curto prazo.

Como o Stage 2 RemotePELoader contorna soluções de EDR?

O RemotePELoader usa a técnica de Hell's Gate e patches de ETW para contornar soluções de detecção e resposta em endpoints (EDR). Essas técnicas modificam os mecanismos de rastreamento de eventos do sistema e chamam diretamente as system calls, evitando o monitoramento dos ganchos de API do EDR.

Como os fundos roubados pelo Lazarus Group são rastreados?

A TRM Labs é a principal empresa de análise de blockchain que rastreia atividades do Lazarus Group e confirmou os dados de roubos de cerca de US$ 577 milhões nos primeiros quatro meses de 2026, além do registro de cerca de US$ 6 bilhões acumulados desde 2017. O método específico de rastreamento depende do relatório original da TRM Labs.