Auf den Punkt: Die Lazarus-Gruppe nutzt RemotePE, einen speichergestützten Remote-Access-Trojaner, um Finanz- und Kryptofirmen anzugreifen. Die mehrstufige Schadsoftware hinterlässt keine Spuren auf der Festplatte und nutzt Evadierungstechniken, um Erkennung zu vermeiden.
Sicherheitsexperten haben eine neue schädliche Software aufgedeckt, mit der die nordkoreanische Lazarus-Gruppe Angriffe auf Finanz- und Kryptowährungsfirmen durchführt. RemotePE ist ein speicher-basierter Trojaner, der keine Spuren auf der Festplatte hinterlässt.
Die Sicherheitsexperten der NCC Group und ihrer Tochtergesellschaft Fox-IT haben Details zu RemotePE bekannt gemacht, einem plattformübergreifenden Schadprogramm, das von der nordkoreanischen Lazarus-Gruppe gegen Finanz- und Kryptowährungsunternehmen eingesetzt wird.
RemotePE ist Teil einer mehrstufigen Angriffskette, die zwei Loader umfasst: DPAPILoader und RemotePELoader. Der DPAPILoader entschlüsselt und lädt den RemotePELoader von der Festplatte, indem er die Windows Data Protection API (DPAPI) nutzt. Der RemotePELoader verbindet sich anschließend mit einem Command-and-Control-Server (C2) und bleibt inaktiv, bis er die nächste Angriffsstufe erhält: RemotePE, ein vollständig speichergestützter Remote-Access-Trojaner, der ohne Zugriff auf die Festplatte ausgeführt wird.
RemotePE wurde erstmals im September 2025 nach einem Angriff auf eine DeFi-Organisation offengelegt. Das Eindringen begann mit Social Engineering: Ein Angreifer kontaktierte einen Mitarbeiter über Telegram und gab sich dabei als Arbeitnehmer eines Handelsunternehmens aus. Zu den eingeschleusten Schadprogrammen gehörten PondRAT, ThemeForestRAT und RemotePE.
Die Infektionskette besteht aus drei Stufen. Der DPAPILoader ist eine DLL, die ein verschlüsseltes Payload von der Festplatte mit DPAPI entschlüsselt und lädt. Die erste bekannte Probe trat im November 2023 auf. Nach der Entschlüsselung kommt der RemotePELoader zum Einsatz, der eine Verbindung zu einem Command-Server aufbaut. Das Schadprogramm nutzt Evadierungsmethoden wie Hell’s Gate und ETW-Patching, um Erkennungsmechanismen zu umgehen.
Das finale Payload ist RemotePE – ein vollwertiger Remote-Access-Trojaner in C++, der sich regelmäßig mit dem C2-Server verbindet. Die Malware kann sechs verschiedene Befehlskategorien verarbeiten und ermöglicht Angreifern unter anderem das Ändern der C2-Konfiguration.